Noll
DJI
En uppretad bug bounty hunter har visat att drone tekokare DJI lämnade allt från AWS referenser till eget SSL-nycklar på offentliga forum.
Som rapporterats av Registret, säkerhet forskaren Kevin Finisterre upptäckte den Kinesiska företaget hade kvar den privata nycklar DJI HTTPS domän på GitHub, synliga för alla att se för ungefär fyra år.
För att göra saken värre, DJI hade också gjort AWS referenser och firmware AES nycklar tillgängliga för vem som helst att söka igenom GitHub repository.
Med tanke på dessa verktyg, som sammanfattas av forskaren som en “fullständig infrastruktur kompromiss”, en cyberattacker kan få fritt spelrum att orsaka total förödelse för DJI, att stjäla data, kompromissa system, och mycket mer.
Problemen började i augusti när Kinesiska företaget meddelade en bug bounty program som inbjudna externa forskare med att hitta fram, och bli belönad för ett ansvarsfullt sätt att avslöja brister i bolagets produkter.
Medan många leverantörer har valt den här linjen för att skydda företagets infrastruktur, konsumentprodukter och tjänster, DJI var också ett försök att slå ner på en växande underjordiska av hemodlade dataintrång.
Användarna har varit och fortsätter att ändra drönare för att kringgå flyg och geolocation begränsningar, såsom No Fly Zone (nfz skriver), och nu kan du köpa programvara och fullt moddad drönare som redan är exploaterade.
Genom att lösa buggar som används av homebrew hackare, DJI också hoppats på att bättra på sin misshandlade rykte med den AMERIKANSKA militären som har förbjudit användningen av det Kinesiska företagets produkter på grund av “it-sårbarheter.”
På den tiden, ZDNet rapporterade att DJI verkade ha skyndade sig att ställa upp den infrastruktur som krävs för en bug bounty program, och denna förutsägelse verkar ha kommit till pass.
Finisterre säger i en 18-sidan utlämnande (.PDF) att formuleringen av programmet lämnade mycket att önska, och efter att undersöka om giltigheten av server-baserade frågor, det tog DJI veckor på sig att svara.
Under tiden, jägare diskuterar en rad av uppgifter som är tillgängliga på offentliga styrelser, bland annat i offentliga AWS hinkar set med noll behörigheter som var lätt att söka på och rota runt.
“Det är oklart exakt vad det var i den offentliga DJI hinkar, korta av den rapporterade: “alla bilagor till e-postmeddelanden som de får… bilder av skadade drönare… mottagandet och andra personliga data…” och “enstaka bilder av människor skär av propellrar”,” forskaren lagt till.
Medan vi fortfarande väntar på ett klargörande, Finisterre gav företaget en heads-up på bryggning storm, som DJI Corporate Communication Director Adam Lisberg påstås ha sagt: “håll ögonen öppna. Jag skulle berätta lite mer, om jag hade ditt ord på att det inte skulle hamna över Internet.”
Detta visas för att ange tonen för vad som hände sedan i en lång saga.
DJI äntligen bekräftat två veckor senare att källkoden läckor och server frågor i omfattning, och forskaren lämnat in en 31-sidiga rapporten-som också ingår som han hade sett okrypterade flyg loggar, pass, drivrutiner licenser, och ID-kort.
“Det bör noteras att nyare loggar och ANSVARSFÖRSÄKRING verkade vara krypterat med en statisk OpenSSL lösenord, så teoretiskt så är vissa av de uppgifter som har minst löst skyddade från nyfikna ögon,” forskaren noteras.
Samtidigt drömmer om att Tesla att han skulle köpa med belöning pengar av $30 000, 130 e-post till varandra, ett erbjudande som betald konsult lades på bordet genom att DJI och många lektioner i grundläggande säkerhet och bug bounty utlämnande med Finisterre som instruktör senare, en sårbarhet sekretessavtal var på bordet att vara inloggad.
“Jag kommer inte gå in alltför mycket i detalj, men avtalet som lades framför mig med DJI i huvudsak inte erbjuda forskare någon form av skydd,” Finisterre sade i rapporten. “För mig personligen formuleringen sätta min rätt till arbete på risk, och ställde en direkt konflikt som är av intresse för många saker, inklusive min yttrandefrihet.”
“Det verkade nästan som ett skämt,” bug bounty hunter läggas till. “Det var ganska klart hela” bug bounty ” – programmet var rusade baserat på enbart detta.”
Försök gjordes med både forskare och Brendan Schulman, VP Politik och juridik på DJI, för att ändra avtalet för att tillfredsställelse på båda sidor, men Finisterre beklagar sig över att den verkställande makten “inte kunde hålla barbarians at the gate” och forskaren fick sedan ett “tunt beslöjade Computer Fraud and Abuse Act hotet från DJI.”
Jurister granskat ett “slutgiltigt bud” dokument från DJI och anses avtalet “extremt riskfyllt” och troligen “utformad i ond tro.”
“Om du som undrar om DJI ens brytt sig om att svara efter att jag blev förolämpad över CFAA hot, bör du vara glad att veta att det var platt ut radiotystnad från det på sig,” forskare. “Alla Twitter DM stoppas, SMS-meddelanden som förblev obesvarade, etc. Kallblodiga tystnad. Tack för att du lyssnar. Om något låter för bra för att vara sant, är det förmodligen.”
Den moraliska av historien? Bug bounty industrin erbjuder hög belöningar, men både erfarna veteraner och mindre erfarna företagen kan försöka att verkställa utlämnandet kontrakt som binder forskare i ett oacceptabelt sätt, eller genom formuleringar som resulterar i en intressekonflikt.
Om företagen är att be om extern hjälp, tid och ansträngning för att förbättra sin egen praxis, att det måste finnas utrymme och respekt på båda sidor för sådana avtal för att arbeta.
Det tar bara en forskare som har en dålig erfarenhet med ett företag att vända andra bug bounty hunters bort, rädd att risken för rättsliga backlash eller bortkastad tid och ansträngning — bättre spenderas med företag som belönar forskare utan att försöka ta bort sina rättigheter.
Se även: Bugg i arv: “Köp vad du vill”
Sett till ZDNet en DJI talesman sade:
“DJI utreder rapporterade obehörig åtkomst av en av DJI servrar som innehåller personlig information som lämnas av våra användare.
Som en del av sitt engagemang för kundernas data security, DJI anlitat en oberoende it företag att undersöka denna rapport och inverkan av en obehörig åtkomst till informationen.
Idag, en hacker som fått en del av denna data publiceras på nätet hans förtroliga meddelanden med DJI anställda om hans försök att göra anspråk på en “bug bounty” från DJI Security Response Center.
[..] DJI uppmanar forskare att följa standarden gäller för bug bounty program som är utformade för att skydda konfidentiella uppgifter och ge tid för analys och lösning av en sårbarhet innan det avslöjas offentligt.
Hackaren i fråga vägrat att gå med på dessa villkor, trots DJI fortsatta försök att förhandla med honom, och hotade DJI om hans villkor inte var uppfyllda.”
Tidigare och relaterade täckning
DJI lanserar bug bounty program för att stoppa hemsnickrade hacka DJI lanserar drone system för identifiering och övervakning AeroScope DJI ser ut att öka drone datasäkerhet efter AMERIKANSKA Armén förbud DJI tar på hemodlade drone hackare i kapprustning
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0