Início » Antivírus e Segurança » Pesquisador alerta DJI sobre falha de segurança e recebe ameaças da empresa

Pesquisador alerta DJI sobre falha de segurança e recebe ameaças da empresa

Felipe Ventura Por

A chinesa DJI é, de longe, a líder em drones para civis, com participação global de 70% nesse mercado. Ela tem uma equipe de pesquisa e desenvolvimento com 1.500 funcionários, para sempre estar à frente da concorrência; e consegue oferecer seus produtos — como a linha Phantom — a preços mais baixos que outras empresas.

No entanto, ela tem alguns problemas de segurança. O exército dos EUA proibiu o uso de seus drones para qualquer propósito militar; há também relatos de pessoas que hackearam seu firmware.

Então, a empresa decidiu lançar um programa de bug bounty: desde agosto, quem descobrir falhas em seu software pode ganhar entre US$ 100 e US$ 30 mil. Só que um pesquisador encontrou uma brecha de segurança nos servidores da DJI, e recebeu ameaças em vez de uma recompensa.

Foto por Andri Koolme/Flickr

Segundo o Ars Technica, o pesquisador Kevin Finisterre conseguiu acessar arquivos que a DJI deixou desprotegidos na nuvem da Amazon Web Services. Isso inclui fotos de passaportes dos clientes, carteiras de motorista, e logs de voo.

Depois, ele encontrou uma brecha para acessar imagens no SkyPixel, serviço da DJI para compartilhamento de fotos. Aqui, era possível ver drones danificados, pessoas cortadas por hélices, além de recibos e outros dados pessoais. Segundo Finisterre, foi possível encontrar os certificados SSL e as chaves de criptografia AES no GitHub.

Ele conversou por e-mail com um funcionário para alertar sobre o problema, trocando 130 mensagens ao longo de semanas. “Em dado momento… a DJI até se ofereceu para me contratar diretamente como consultor de segurança”, escreve Finisterre.

Em setembro, a empresa se ofereceu a pagar US$ 30 mil pela falha. Então, de repente, ela avisou que seus servidores não estavam mais no escopo do programa de recompensas. Um mês depois, o setor jurídico enviou uma carta exigindo que ele destruísse os dados que descobriu, ou seria processado sob a Lei de Fraude e Abuso de Computadores (CFAA).

A DJI então enviou um contrato de “oferta final”. Finisterre escreve que “não menos de quatro advogados me disseram de várias maneiras que o acordo era extremamente arriscado, e também provavelmente criado de má-fé para silenciar quem o assinasse”. Assim, ele desistiu dos US$ 30 mil e publicou as descobertas em seu site pessoal.

Em comunicado ao Ars Technica, a DJI diz que foi ameaçada por Finisterre e o chama apenas de “hacker”:

A DJI está investigando o acesso não-autorizado a um de nossos servidores contendo informações pessoais enviadas por nossos usuários. Como parte do compromisso com a segurança de dados dos clientes, a DJI contratou uma empresa independente de segurança cibernética para investigar estes relatos, e o impacto de qualquer acesso não-autorizado a esses dados.

Hoje, um hacker que obteve alguns desses dados postou online as conversas confidenciais com os funcionários da DJI sobre suas tentativas de reivindicar um “bug bounty” do DJI Security Response Center… O hacker em questão se recusou a concordar com os termos padrão de programas de recompensa, apesar de tentativas contínuas em negociar com ele; e ameaçou a DJI se seus termos não fossem cumpridos.

Com informações: Ars Technica.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Vin Diesel
nem sabia que são chineses, por esse motivo vou cancelar o pedido do drone, segundo, promentem uma coisa e não cumprem? agora mesmo que não vou comprar um drone dessa empresa. só não vou fazer propaganda negativa pq no BR que é todo do contra ao eu falar mal ai que o cara compra...
Marcos
Nos termos pra receber o valor ele teria de concordar com várias diretivas da empresa e basicamente ficaria vinculado a um NDA com a empresa. Ou seja, não poderia divulgar os bugs encontrados, sendo que a empresa deveria corrigir os mesmos, para que, mesmo divulgados, não possam mais ser utilizados.
Matheus Mohr
Mas eu não entendi, teoricamente a empresa se ofereceu pra pagar ele, antes mesmo da tal "oferta final para silenciar pessoas", e mesmo assim ele não topou? Que deabos ele queria então?
Jairo ??
Tchi, acredito que os 2 lados estão querendo se dar bem
LekyChan
ali só mostra um resumo do que aconteceu com screenshot de alguns emails e não os mais de 100 emails trocados, como diz a noticia, eu quero tudo e não só oq ele quer mostrar
Renan Maia Fernandes
Confie em empresas chinesas amiguinho, eles são atenciosos e nada de mal vai te acontecer https://uploads.disquscdn.com/images/069363ae7788021c6a4e33d27dbfea9bcd81a2cdf49de1ffbb8acc941028a65f.jpg
Hugo Medeiros
Na matéria tem um link com os emails. É só vcs lerem e checarem.
Daniel Teixeira
O link com a publicação dele tá na notícia.
ecarvm
Isso mesmo, que se apresente as provas.
LekyChan
É só ele publicar os e-mails que veremos quem está dizendo a verdade