Zero
DJI
Une exaspéré bug bounty hunter a révélé que le drone maker DJI tout quitté à partir d’informations d’identification AWS privé clés SSL sur les forums publics.
Tel que rapporté par le Registre, le chercheur en sécurité Kevin Finisterre découvert la société Chinoise avait laissé les clés privées de l’DJI HTTPS domaine sur GitHub, exposée aux yeux de tous pendant près de quatre ans.
Pour aggraver les choses, DJI a aussi fait AWS informations d’identification et le firmware des clés AES disponible pour toute personne à la recherche par le dépôt GitHub.
Compte tenu de ces outils, telle que résumée par le chercheur comme une “infrastructure complète de compromis,” un cyberattacker pourrait avoir le champ libre à cause de proférer des ravages pour DJI, le vol de données, compromission de systèmes, et beaucoup plus.
Les problèmes ont commencé en août, lorsque la société Chinoise a annoncé un bug bounty program, qui a invité des chercheurs externes à trouver, soumettre, et d’être récompensés pour responsable divulgation des vulnérabilités dans les produits de la société.
Tandis que de nombreux fournisseurs ont choisi cette voie afin de protéger l’infrastructure de l’entreprise, les consommateurs des dispositifs et des services, DJI a également été de tenter de serrage vers le bas sur une croissance de métro de la maison de piratage.
Les utilisateurs ont été et continuent à modifier les drones de contourner vol de géolocalisation et de restrictions, telles que la Zone d’exclusion aérienne (NFZ), et vous pouvez maintenant acheter des logiciels et entièrement modded des drones qui sont déjà exploitées.
Par la résolution de bugs qui ont été utilisés par homebrew pirates, DJI espère aussi réparer sa battues réputation auprès de l’armée américaine qui a interdit l’usage des Chinois de produits de la firme en raison de “cyber vulnérabilités.”
À l’époque, ZDNet rapporté que DJI semble avoir précipité pour mettre en place l’infrastructure nécessaire pour un bug du programme de primes, et cette prédiction semble être venu de passer.
Finisterre dit dans un 18-page divulgation.PDF) que la formulation du programme a laissé beaucoup à désirer, et après s’interrogeant sur la validité de serveur de base de questions, il a fallu DJI semaines pour répondre.
Pendant ce temps, les chasseurs étaient en train de discuter d’un éventail de données disponibles sur les conseils publics, y compris les AWS seaux ensemble avec zéro autorisations qui ont été facile à chercher et fouiner.
“Il est difficile de savoir exactement ce qui était dans le public DJI seaux, court déclaré: “toutes les pièces jointes aux e-mails qu’ils reçoivent… les images de endommagée drones… réception et d’autres données personnelles…” et “occasionnels des photos de personnes coupées par des hélices,” le chercheur ajouté.
Bien que toujours en attente de clarification, Finisterre a donné à la compagnie un heads-up sur le brassage de la tempête, à qui DJI Directeur de la Communication d’Entreprise Adam Lisberg aurait dit: “Restez à l’écoute. Je voudrais vous en dire un peu plus, si j’avais votre mot qu’il ne serait pas tous sur l’Internet.”
Cela semble donner le ton à ce qui s’est passé ensuite dans une longue saga.
DJI a finalement confirmé deux semaines plus tard, que le code source des fuites et les problèmes de serveur étaient dans le champ, et le chercheur a soumis un 31-page rapport, qui comprenait aussi qu’il avait vu non chiffrés vol journaux, des passeports, des permis de conduire, cartes d’identité et de.
“Il convient de noter que les nouvelles des journaux et PII semblait être chiffré avec un statique OpenSSL mot de passe, donc, théoriquement, une partie des données a été au moins vaguement protégé des regards indiscrets,” le chercheur a noté.
Tout en rêvant de la Tesla qu’il allait acheter avec l’argent récompense de 30 000$, 130 e-mails ont été échangés, une offre de conseil rémunéré a été mis sur la table par DJI et de nombreuses leçons de base de la sécurité et de bug bounty communication avec les Finisterre en tant qu’instructeur plus tard, une vulnérabilité de divulgation d’accord a été sur la table pour être signé.
“Je ne vais pas trop entrer dans les détails, mais l’accord qui a été mis en face de moi par DJI en substance, de ne pas offrir aux chercheurs de toute sorte de protection,” Finisterre dit dans le rapport. “Pour moi personnellement, le libellé de mettre mon droit au travail à risque, et pose un conflit d’intérêt pour beaucoup de choses, y compris ma liberté de parole”.
“Il semblait presque comme une blague,” le bug bounty hunter ajouté. “C’était assez clair de l’ensemble de “bug bounty” du programme a été se précipita sur cette base.”
Des tentatives ont été faites par les chercheurs et Brendan Schulman, vice-président des affaires politiques et juridiques au DJI, de modifier l’entente à la satisfaction des deux côtés, mais Finisterre déplore le fait que l’exécutif “n’était pas en mesure de garder les barbarians at the gate”, et le chercheur a ensuite reçu une “peine voilée Computer fraud and Abuse Act menace de DJI.”
Les avocats ont examiné une “offre finale” document de DJI et a jugé que le contrat “extrêmement dangereux” et probablement “conçu dans la mauvaise foi.”
“Si vous qui se demandent si DJI même pris la peine de répondre après que j’ai offensé plus CFAA de la menace, vous devriez être heureux de savoir qu’il était à plat silence radio à partir de là,” le chercheur a dit. “Tous Twitter DM est arrêté, les messages SMS sont restées sans réponse, etc. Avec sang-froid le silence. Merci pour l’écoute. Si quelque chose semble trop beau pour être vrai, c’est probablement le cas.”
La morale de l’histoire? Le bug bounty industrie offre des récompenses, mais les deux vétérans expérimentés et moins expérimentés, les entreprises peuvent tenter de faire respecter la divulgation des contrats qui lient les chercheurs inacceptable manières, ou par l’intermédiaire d’un libellé qui entraîne un conflit d’intérêts.
Si les entreprises demandent de l’aide externe, du temps et des efforts pour améliorer leurs propres pratiques, il y a une marge de manœuvre et de respect des deux côtés, pour ces contrats de travail.
Il suffit d’un seul chercheur à avoir une mauvaise expérience avec une société qui à leur tour d’autres bug des chasseurs de primes à l’écart, craignant le risque juridique de jeu ou un gaspillage de temps et d’effort — mieux dépensé avec les entreprises qui récompense les chercheurs, sans chercher à les priver de leurs droits.
Voir aussi: Bug bounty: “Acheter ce que vous voulez’
En parlant de ZDNet, un DJI porte-parole a déclaré:
“DJI étudie l’a signalé tout accès non autorisé à l’un des MÉDICAMENTS les serveurs contenant des informations personnelles soumises par nos utilisateurs.
Dans le cadre de son engagement en faveur de la clientèle la sécurité des données, DJI a engagé un indépendant de cybersécurité de l’entreprise pour étudier ce rapport et l’impact de tout accès non autorisé à ces données.
Aujourd’hui, un hacker qui a obtenu certaines de ces données mis en ligne son les communications confidentielles avec DJI employés au sujet de sa tentative pour réclamer un “bug bounty” de l’DJI Security Response Center.
[..] DJI demande aux chercheurs de suivre les termes standards de bug bounty programmes, qui visent à protéger le caractère confidentiel des données et permettre à temps pour l’analyse et la résolution d’une vulnérabilité avant qu’il soit divulgué au public.
Le hacker en question a refusé d’accepter ces conditions, en dépit de DJI est les tentatives de négocier avec lui, et menacé DJI si ses conditions ne sont pas remplies.”
Précédente et de la couverture liée
DJI lance un bug du programme de primes à la maison d’arrêt de piratage
La course aux armements a gagné en rythme avec DJI offrant des récompenses en espèces pour les rapports des failles.
DJI drone lance l’identification et la surveillance du système AeroScope
Le produit est destiné à établir un équilibre entre la sécurité et la vie privée.
DJI cherche à stimuler drone de données de sécurité après l’Armée américaine ban
DJI va introduire un local de mode de données qui permettra aux pilotes de drones pour vous déconnecter d’internet pendant les vols.
DJI prend sur homegrown drone pirates dans la course à l’armement
DIY les pirates font de l’entreprise une vie de misère dans la quête de renverser les restrictions de vol.
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0