Nul
DJI
Een geërgerde bug bounty hunter heeft geopenbaard dat de drone maker DJI links alles van AWS referenties naar eigen SSL sleutels op de openbare forums.
Zoals gerapporteerd door het Registreren, security-onderzoeker Kevin Finisterre ontdekte de Chinees bedrijf had verlaten van de private sleutels van de DJI HTTPS domein op GitHub, bloot voor iedereen te zien voor ongeveer vier jaar.
Tot overmaat van ramp, DJI had ook AWS referenties en firmware AES-sleutels beschikbaar voor iedereen om te zoeken door middel van de GitHub repository.
Gegeven deze tools, zoals samengevat door de onderzoeker als een “volledige infrastructuur compromis,” een cyberattacker zou kunnen hebben vrij spel te veroorzaken volslagen havoc voor DJI, het stelen van gegevens, het compromitteren van de systemen, en nog veel meer.
De problemen begonnen in augustus, toen de Chinees bedrijf kondigde een bug bounty ‘ programma uitgenodigd externe onderzoekers te vinden, indienen, en worden beloond voor een verantwoorde openbaarmaking van kwetsbaarheden in de producten van het bedrijf.
Hoewel veel leveranciers hebben gekozen voor deze route te beschermen bedrijf zijn infrastructuur, consumenten-apparaten en diensten, DJI was ook een poging om klem naar beneden op een groeiende ondergrondse van eigen bodem te hacken.
Gebruikers zijn en blijven wijzigen drones te omzeilen vlucht en geolocatie beperkingen, zoals de No-Fly Zone (NFZ), en je kunt nu kopen software en volledig modded drones die al geëxploiteerd.
Door het oplossen van bugs die werden gebruikt door homebrew hackers, DJI hoopte ook aan de beterende hand zijn gehavende reputatie met de AMERIKAANSE militair die heeft verboden het gebruik van de Chinese firma ‘ s producten ten gevolge van een “cyber kwetsbaarheden.”
Op het moment, ZDNet gemeld dat DJI leek te hebben met spoed naar het opzetten van de infrastructuur die nodig is voor een bug bounty ‘ programma, en deze voorspelling lijkt te zijn uitgekomen.
Finisterre zegt in een 18 pagina ‘disclosure’ (.PDF) dat de redactie van het programma liet veel te wensen over, en na onderzoek op de geldigheid van op basis van server problemen, het duurde DJI weken te reageren.
Ondertussen jagers waren het bespreken van een reeks van gegevens beschikbaar over het openbaar boards, met inbegrip van de openbare AWS emmers set met nul machtigingen die waren makkelijk te zoeken en te porren rond.
“Het is onduidelijk wat er precies in de openbare DJI emmers, korte van de gerapporteerde: “alle bijlagen aan de e-mails die ze ontvangen… beelden van de beschadigde drones… ontvangst en andere persoonlijke gegevens…” en “incidentele foto’ s van mensen snijden door propellers,” de onderzoeker toegevoegd.
Terwijl we wachten nog steeds voor de verduidelijking, Finisterre gaf het bedrijf een heads-up op het brouwen van storm, waarin DJI Corporate Communication Director Adam Lisberg naar verluidt zei: “Blijf op de hoogte. Zou ik je wat meer vertel, als ik uw woord, dat het niet zou uiteindelijk op het Internet.”
Dit lijkt de toon gezet voor wat er daarna gebeurde in een lange saga.
DJI ten slotte bevestigde twee weken later dat de broncode lekken en problemen met de server werden in scope, en de onderzoeker heeft ingediend, een 31-pagina ‘ s tellende rapport — dat tevens dat hij gezien had, niet-versleutelde vlucht logs, paspoorten, rijbewijzen en ID-kaarten.
“Het moet worden opgemerkt dat de nieuwere logs en PI leek te worden gecodeerd met een statische OpenSSL wachtwoord, dus theoretisch deel van de gegevens is ten minste losjes beschermd tegen nieuwsgierige ogen,” de onderzoeker genoteerd.
Terwijl ze dromen van de Tesla hij was van plan om te kopen met de beloning geld van $30.000, 130 e-mails uitgewisseld, een aanbod van betaalde consultancy werd op de tafel gezet door DJI en lessen in veiligheid en bug bounty openbaarmaking met Finisterre als instructeur later, een vulnerability disclosure agreement was op de tabel om te worden ondertekend.
“Ik zal niet teveel in detail gaan, maar de overeenkomst was dat er voor mij door DJI in essentie niet bieden onderzoekers een soort van bescherming,” Finisterre zei in het rapport. “Voor mij persoonlijk is de formulering mijn recht om te werken in gevaar, en die een direct conflict van belang om vele dingen zoals mijn vrijheid van meningsuiting.”
“Het leek als een grap,” de bug bounty hunter toegevoegd. “Het was vrij duidelijk dat de hele ‘bug bounty’ programma werd met spoed op basis van alleen.”
Pogingen werden gedaan door zowel de onderzoeker en Brendan Schulman, VP van beleid en juridische zaken bij DJI, tot wijziging van de overeenkomst naar tevredenheid aan beide kanten, maar Finisterre betreurt dat het college was “niet in staat om de barbaren aan de poort,” en de onderzoeker kreeg een “nauwelijks verholen Computer Fraud and Abuse Act dreiging van DJI.”
Advocaten beoordeeld met een “final offer” document van DJI en wordt geacht de overeenkomst “zeer riskant” en waarschijnlijk ook “vervaardigd in te kwader trouw.”
“Als je dat af als DJI eens de moeite genomen om te reageren nadat ik beledigd over de CFAA bedreiging, je moet blij zijn om te weten dat het plat was een radio stilte van er op uit,” de onderzoeker zei. “Alle Twitter DM’ s gestopt, SMS-berichten onbeantwoord, enz. Cold blooded stilte. Bedankt voor het luisteren. Als iets te mooi klinkt om waar te zijn, waarschijnlijk is het.”
De moraal van het verhaal? De bug bounty-industrie biedt hoge beloningen, maar zowel de ervaren veteranen en minder ervaren kunnen bedrijven proberen af te dwingen disclosure contracten die binden onderzoekers in onaanvaardbare manieren, of door middel van een formulering die resulteert in een conflict van belang.
Als bedrijven vragen voor externe hulp, tijd en inspanning voor het verbeteren van hun eigen praktijken, er is ruimte en respect aan beide zijden voor een dergelijke overeenkomsten te werken.
Het duurt slechts een onderzoeker hebben een slechte ervaring met een bedrijf in te schakelen andere bug bounty hunters weg, uit angst voor het risico van wettelijke speling of verspilde tijd en moeite — beter besteed met bedrijven die beloning onderzoekers zonder te proberen weg te nemen van hun rechten.
Zie ook: Bug gaven: ‘Koop wat je wilt’
Spreekt ZDNet, een DJI-woordvoerder zei:
“DJI is het onderzoeken van de gerapporteerde onbevoegde toegang van een van DJI de servers die persoonlijke gegevens die door onze gebruikers.
Als onderdeel van haar inspanningen om klanten de beveiliging van gegevens, DJI bezig een onafhankelijke cybersecurity bedrijf te onderzoeken, dit rapport en de impact van enige ongeautoriseerde toegang tot die gegevens.
Vandaag de dag, een hacker die zijn verkregen van een aantal van deze gegevens online geplaatst zijn vertrouwelijke communicatie met DJI-medewerkers over zijn pogingen om te beweren dat een “bug bounty” van de DJI Security Response Center.
[..] DJI vraagt onderzoekers te volgen standaardvoorwaarden voor bug bounty ‘programma’ s, die zijn ontworpen om vertrouwelijke gegevens te beschermen en tijd voor analyse en oplossing van een kwetsbaarheid voor het openbaar bekend worden gemaakt.
De hacker in kwestie weigerde akkoord te gaan met deze voorwaarden, ondanks DJI voortdurende pogingen om te onderhandelen met hem, en dreigde DJI als zijn voorwaarden niet voldaan’.
Vorige en aanverwante dekking
DJI lanceert bug bounty ‘ programma om te stoppen met het hacken van eigen bodem
De wapenwedloop heeft opgedaan tempo met DJI biedt cash beloningen voor de kwetsbaarheid van rapporten.
DJI lanceert drone identificatie en monitoring systeem AeroScope
Het product is gericht op een evenwicht tussen veiligheid en privacy.
DJI ziet boost drone beveiliging van de gegevens na het AMERIKAANSE Leger in de ban
DJI zal de invoering van een lokale data-modus die het mogelijk maken drone-piloten om verbinding met internet te verbreken tijdens vluchten.
DJI neemt op eigen bodem drone hackers in arms race
DIY hackers maken van het bedrijf ‘ s leven een ellende in de zoektocht naar de omverwerping van de vlucht beperkingen.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0