DJI увольняет разработчиков ПО, причастных к утечке данных, и публикует заявление по делу Bug Bounty

В публичном заявлении, касающемся дела Bug Bounty с Кевином Финистерре, DJI также сообщает, что уволила разработчиков программного обеспечения, причастных к инциденту с кибербезопасностью данных клиентов DJI, хранящихся на серверах AWS.

DJI не уклоняется от публичных заявлений, чтобы прояснить ситуацию или, по крайней мере, изложить свою версию событий. Они сделали это в случае атаки на Aeroscope компании DJI. DJI также отреагировала, когда дрон столкнулся с самолетом в Квебеке. И теперь, после того как Кевин Финистерре публично изложил причины отказа от высшей награды в размере 30 000 долларов США в рамках программы Bug Bounty от DJI, DJI выпускает свое публичное заявление, в котором указывает на предпринятые ими шаги для решения проблем. Одним из них стало увольнение разработчиков программного обеспечения, ответственных за безопасность данных.

DJI увольняет разработчиков ПО и публикует заявление

Ответ охватывает четыре различных пункта: SSL-сертификаты, данные сервера AWS, программу Bug Bounty и меморандум ICE. Последний пункт мы осветим в отдельной публикации.

Реклама — прокрутите, чтобы увидеть больше контента

Первые три пункта, по-видимому, связаны с историей Кевина Финистерре. Имейте в виду, что у нас есть только ограниченная информация, и поэтому мы не можем быть уверены во всех деталях, но, похоже, именно SSL-сертификаты предоставили Финистерре доступ к серверам. DJI заявляет, что они действовали немедленно после того, как узнали о проблеме, и заменили SSL-сертификаты. Кроме того, DJI уволила инженеров-программистов, которые отвечали за безопасность данных клиентов DJI на серверах AWS. DJI также сократила количество лиц, имеющих доступ к этой конфиденциальной информации, и предоставила дополнительное обучение для этих сотрудников. Наконец, DJI наняла стороннюю криминалистическую компанию для расследования этого инцидента. На данный момент похоже, что только один человек имел доступ к информации. Логично предположить, что DJI имеет в виду Кевина Финистерре.

Угроза или выражение обеспокоенности?

Затем DJI переходит к программе Bug Bounty. DJI заявляет, что они наградили почти дюжину исследователей безопасности, или хакеров, как их иногда называет DJI, с момента запуска программы в августе. В случае с Кевином Финистерре DJI утверждает, что компания никогда не делала угроз и не требовала от Финистерре молчать о своем открытии. То, что Финистерре называет «завуалированной угрозой по Закону о мошенничестве и злоупотреблении компьютерными технологиями со стороны DJI», DJI называет «обеспокоенностью действиями вне рамок программы и потенциальным нарушением применимых законов». Интересно, что Финистерре в своем PDF-документе признает, что изначально пропустил «угрозу». DJI подтверждает это и заявляет, что не получала ответа от исследователя безопасности в течение двух недель после отправки ему проекта письма. По истечении этих двух недель Финистерре решает прервать переговоры, фактически отказавшись от награды в 30 000 долларов за обнаружение ошибки и обнародовав свою историю. Что именно произошло в эти две недели, мы, вероятно, никогда не узнаем, но очевидно, DJI посчитала необходимым рассказать свою сторону истории.

DJI заключает свое заявление по делу Финистерре, утверждая, что компания не намерена преуменьшать какие-либо проблемы с безопасностью данных. Дело Финистерре является индивидуальным случаем, который не отражает почти дюжину случаев, успешно разрешенных. DJI не намерена прекращать программу Bug Bounty (веб-сайт и заявление).

Полный текст ответа вы можете прочитать ниже.

«Заявление DJI о мерах кибербезопасности и конфиденциальности DJI»

Заявление о мерах кибербезопасности и конфиденциальности DJI

Недавние новости и публикации в блогах о DJI подняли ряд ключевых вопросов о практике DJI в области кибербезопасности и конфиденциальности. Мы признаем, что существуют несколько обоснованных опасений по поводу репутации DJI в этой области, поэтому мы хотели бы прояснить текущее положение дел в усилиях DJI по обеспечению безопасности.

1. SSL-сертификат

В начале сентября DJI получила уведомление о том, что SSL-сертификат для веб-сайта DJI был скомпрометирован. Немедленно после получения этого сообщения DJI отозвала этот сертификат и заменила его новым.

По результатам своего расследования DJI не имеет оснований полагать, что данные клиентов были скомпрометированы в результате этого. В рамках ответственного раскрытия информации нашим клиентам мы работаем с независимой компанией, специализирующейся на криминалистике, для подтверждения наших выводов. Мы будем продолжать отслеживать действия, связанные с истекшим SSL-сертификатом, и уведомлять соответствующих клиентов, если появятся какие-либо свидетельства того, что целостность их данных могла быть затронута.

2. Данные сервера AWS

DJI получила отчет от независимого исследователя безопасности о том, что к репозиторию сервера AWS имели доступ неавторизованные лица. Мы очень серьезно отнеслись к этой проблеме и устранили ее в течение дня после получения отчета.

После проведения внутреннего аудита мы выявили разработчиков DJI, ответственных за эту ошибку, и немедленно приняли в отношении них дисциплинарные меры. Мы уволили их, поскольку считали их поведение недопустимым и не соответствующим политике компании. Мы также сократили количество лиц, уполномоченных изменять публичные и частные настройки наших серверов, чтобы предотвратить подобные инциденты в будущем. Кроме того, DJI усилила меры безопасности и обучение сотрудников для предотвращения подобных инцидентов.

Аналогично проблеме с SSL-сертификатом, мы привлекли стороннюю криминалистическую компанию для расследования этого инцидента. По результатам нашего анализа на данный момент только одна сторона смогла загрузить данные с сервера, включая личную информацию наших разработчиков. Расследование продолжается, и мы уведомим клиентов, если появятся доказательства того, что данные были использованы не по назначению.

3. Программа Bug Bounty

DJI создала Центр реагирования на инциденты безопасности DJI (DSRC) для предоставления канала независимым исследователям для сообщения о проблемах, которые могут повлиять на безопасность продуктов DJI, в рамках нашей работы по обеспечению целостности данных.

С момента объявления программы Bug Bounty DJI в августе 2017 года DJI наградила почти дюжину исследователей безопасности, которые обнаружили потенциальные уязвимости и получили выплаты за свой вклад после соблюдения условий программы.

Утверждения о том, что мы угрожали одному из участников программы или требовали от него молчать о своем открытии, являются ложными. Записи обмена электронными письмами и коммуникациях с упомянутым лицом показывают, что DJI продолжала добросовестно вести переговоры об условиях награды с участником до тех пор, пока он не решил отказаться от программы. Хотя участник получил по электронной почте неотправленное письмо с проектом, выражающее обеспокоенность DJI действиями вне программы и потенциальным нарушением применимых законов, он не жаловался DJI при его получении и продолжал вести переговоры об условиях своей награды в течение последующих двух недель. Последняя версия условий, которую DJI отправила этому лицу, предусматривала ограниченный 90-дневный период конфиденциальности, в течение которого DJI могла устранить уязвимость безопасности и предоставить любые необходимые юридические уведомления, после чего он мог бы свободно раскрывать общественности факты о своем открытии. Это лицо в принципе согласилось с этим положением, а также с другими основными положениями последнего отправленного ему проекта. В то время как DJI ждала две недели окончательных комментариев и предложенных редакций этого человека к последней версии условий, этот человек единолично решил прекратить переговоры. Впоследствии он опубликовал проект письма, информацию о разработчиках с удаленными данными, конфиденциальную переписку с сотрудниками DJI и представил неполное и вводящее в заблуждение изложение процесса переговоров с DJI.

С программой DSRC мы продемонстрировали, что не намерены преуменьшать опасения по поводу защиты данных. Опыт с одним человеком является исключением и не отражает программу, которая уже выплатила вознаграждение почти дюжине исследователей, которые работали с нами добросовестно и соблюдали условия программы. DJI по-прежнему привержена программе DSRC и продолжает сотрудничать с исследователями, чтобы помочь повысить безопасность наших продуктов.

4. Меморандум ICE

Нам известно о бюллетене, выпущенном в августе агентом Управления иммиграционной и таможенной службы США (ICE) в Лос-Анджелесе, касающемся DJI. Бюллетень основан на явно ложных и вводящих в заблуждение заявлениях из неопознанного источника.

Несколько ключевых утверждений, сделанных этим безымянным источником, демонстрируют фундаментальное непонимание DJI, ее технологий и рынка дронов.
Некоторые из сделанных заявлений легко опровергаются несколькими минутами исследования. Если бы это исследование было проведено, безымянный осведомитель знал бы, что:

• Ни дроны DJI, ни приложение GO не выполняют распознавание лиц, когда система выключена. Фактически, даже при включенном питании ни один продукт DJI не способен «распознавать» лицо как конкретного человека в целях идентификации. Продвинутые новые продукты имеют алгоритмы «Active Track», которые могут отслеживать движение формы лица или фигуры человека, чтобы облегчить управление дроном или движение камеры (когда продукт включен, а режим Active Track активирован пользователем).
• Стратегия ценообразования DJI не привела к остановке производства Parrot или Yuneec. В то время как многие компании в нашей отрасли сократили штат, в ней по-прежнему существует несколько компаний, ежегодно выпускающих новые модели дронов.
• DJI не продает продукцию себе в убыток или дешевле в США, чем в Китае. Информация о ценах была и остается общедоступной на веб-сайте DJI. Например, по состоянию на ноябрь Spark стоил 499 долларов США в США и 3299 юаней (500 долларов США) в Китае.

На основе этих легко опровергаемых заявлений, в этом заявлении делается несколько других ложных или вводящих в заблуждение утверждений о наших технологиях, способах управления данными и наших отношениях с китайским правительством.

DJI стремится соблюдать местные законы и постановления в каждой стране, где ее дроны работают, и способствовать соблюдению этих норм нашими клиентами. В той мере, в какой существуют локальные правила и политики в Китае, мы гарантируем, что наши системы соответствуют этим правилам, включая необходимость регистрации или включения запретных зон на борту. В соответствии с китайскими нормативными актами, DJI использует IP-адрес пользователя, GPS-местоположение и MCC ID для определения того, эксплуатируется ли дрон в Китае. В этом случае DJI предоставляет клиенту функции, необходимые для соблюдения китайских норм и политик. В противном случае DJI не предоставляет китайскому правительству никакой информации или данных, собранных дроном.

Дополнительные официальные заявления DJI по этим вопросам:

Заявление DJI по бюллетеню ICE: https://www.dji.com/newsroom/news/dji-statement-on-ice-bulletin

Заявление DJI по сообщению о проблеме безопасности данных: https://www.dji.com/newsroom/news/dji-statement-on-reported-data-security-issue

Для получения дополнительной информации, пожалуйста, свяжитесь по адресу: pr@dji.com