Pesquisador alerta DJI sobre falha de segurança e recebe ameaças da empresa
A chinesa DJI é, de longe, a líder em drones para civis, com participação global de 70% nesse mercado. Ela tem uma equipe de pesquisa e desenvolvimento com 1.500 funcionários, para sempre estar à frente da concorrência; e consegue oferecer seus produtos — como a linha Phantom — a preços mais baixos que outras empresas.
No entanto, ela tem alguns problemas de segurança. O exército dos EUA proibiu o uso de seus drones para qualquer propósito militar; há também relatos de pessoas que hackearam seu firmware.
Então, a empresa decidiu lançar um programa de bug bounty: desde agosto, quem descobrir falhas em seu software pode ganhar entre US$ 100 e US$ 30 mil. Só que um pesquisador encontrou uma brecha de segurança nos servidores da DJI, e recebeu ameaças em vez de uma recompensa.
Segundo o Ars Technica, o pesquisador Kevin Finisterre conseguiu acessar arquivos que a DJI deixou desprotegidos na nuvem da Amazon Web Services. Isso inclui fotos de passaportes dos clientes, carteiras de motorista, e logs de voo.
Depois, ele encontrou uma brecha para acessar imagens no SkyPixel, serviço da DJI para compartilhamento de fotos. Aqui, era possível ver drones danificados, pessoas cortadas por hélices, além de recibos e outros dados pessoais. Segundo Finisterre, foi possível encontrar os certificados SSL e as chaves de criptografia AES no GitHub.
Ele conversou por e-mail com um funcionário para alertar sobre o problema, trocando 130 mensagens ao longo de semanas. “Em dado momento… a DJI até se ofereceu para me contratar diretamente como consultor de segurança”, escreve Finisterre.
Em setembro, a empresa se ofereceu a pagar US$ 30 mil pela falha. Então, de repente, ela avisou que seus servidores não estavam mais no escopo do programa de recompensas. Um mês depois, o setor jurídico enviou uma carta exigindo que ele destruísse os dados que descobriu, ou seria processado sob a Lei de Fraude e Abuso de Computadores (CFAA).
A DJI então enviou um contrato de “oferta final”. Finisterre escreve que “não menos de quatro advogados me disseram de várias maneiras que o acordo era extremamente arriscado, e também provavelmente criado de má-fé para silenciar quem o assinasse”. Assim, ele desistiu dos US$ 30 mil e publicou as descobertas em seu site pessoal.
Em comunicado ao Ars Technica, a DJI diz que foi ameaçada por Finisterre e o chama apenas de “hacker”:
A DJI está investigando o acesso não-autorizado a um de nossos servidores contendo informações pessoais enviadas por nossos usuários. Como parte do compromisso com a segurança de dados dos clientes, a DJI contratou uma empresa independente de segurança cibernética para investigar estes relatos, e o impacto de qualquer acesso não-autorizado a esses dados.
Hoje, um hacker que obteve alguns desses dados postou online as conversas confidenciais com os funcionários da DJI sobre suas tentativas de reivindicar um “bug bounty” do DJI Security Response Center… O hacker em questão se recusou a concordar com os termos padrão de programas de recompensa, apesar de tentativas contínuas em negociar com ele; e ameaçou a DJI se seus termos não fossem cumpridos.
Com informações: Ars Technica.
