2017/11/22

DJI ameaça investigador que descobriu falhas de segurança?


A vida de quem se aventura a testar as vulnerabilidades de sites e serviços online é arriscada, e que o diga Kevin Finisterre, que viu a promessa da DJI de uma recompensa de 30 mil dólares transformar-se na acusação de que é um hacker e que se sujeita a ser perseguido judicialmente.

A DJI lançou um programa de recompensa de bugs recentemente, em resposta à proibição da utilização dos seus drones pelo exército dos EUA devido ao receio quanto à informação que estaria a ser transmitida para a cloud. Kevin Finisterre achou que seria uma boa oportunidade, e não demorou muito a descobrir que alguns dos developers da DJI tinham deixado chaves privadas publicamente acessíveis no GitHub, permitindo que qualquer pessoa pudesse aceder a informação privada de clientes da DJI, incluindo fotos de documentos de identificação (como passaportes), registos de voo, e fotos enviadas para a cloud da DJI.

Depois de ter entrado em contacto com a DJI para clarificar se o programa de recompensas também abrangia os seus serviços Finisterre trocou centenas de emails com a empresa, abordando várias das falhas que tinha encontrado, ao ponto da DJI - alegadamente - até lhe ter oferecido emprego como consultor de segurança. Mas assim que enviou o seu relatório completo, recebeu um email da DJI a dizer que afinal os seus sites já não eram abrangidos pelo programa de recompensa; mas ainda assim recebendo igualmente uma notificação de que as suas descobertas lhe iam valer a recompensa máxima de 30 mil dólares atribuída pelo programa.

Um mês mais tarde, o email seguinte que recebeu exigia que assinasse um contrato com várias cláusulas lhe levantavam sérias dúvidas quanto à possibilidade de sequer continuar a realizar as suas funções como investigador de segurança; com vários advogados que contactou a alertarem-no também para que o documento parecia ter sido redigido especificamente para servir de "armadilha" que se poderia tornar bastante complicada - motivo pelo qual decidiu declinar, e trazer tudo para a praça pública.


A DJI oferece uma perspectiva diferente, dizendo que está em curso uma investigação de acesso não autorizado por parte de um "hacker" a um dos seus servidores, e que este terá contactado a DJI para receber a recompensa pelas falhas encontradas, mas recusando-se a assinar aquilo que a DJI diz ser "um contrato" normal para divulgação de falhas de forma responsável, e que já terá sido assinado por "dezenas de investigadores" a quem pagou as devidas recompensas.

... Basicamente entramos num "diz que disse" entre ambas as partes... Esperemos é que, independentemente de quem tiver "razão" neste caso, não faça com que a próxima pessoa que descubra chaves privadas da DJI em locais públicos, simplesmente se limite a vendê-las no submundo da internet para que sejam usadas sabe-se lá para que fins...

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]