DJI ameaça processar investigador que descobriu bugs
Em Agosto, a DJI lançou um programa de caça aos bugs, que recompensava aqueles que encontrassem alguma falha importante.
No entanto, a descoberta de um grande número de bugs poderá valer a um investigador um processo legal.
De forma a melhorar os seus produtos e sistemas, muitas marcas abrem programas de caça aos bugs, onde pagam altos valores a quem descobrir erros nas suas plataformas.
A DJI decidiu, em agosto, seguir a mesm a estratégia e lançou um programa de caça aos bugs que garantia valores até 30.000 dólares, dependendo da gravidade do bug. No entanto, pelas palavras de um investigador de segurança, este processo poderá não ser assim tão fácil.
Antes de iniciar a procura por erros, Kevin Finisterre, investigador de segurança, questionou a DJI se os seus servidores se encontravam também dentro deste programa. Embora a resposta tenha demorado, a marca chinesa confirmou que estes problemas também seriam cobertos.
Após a confirmação, Kevin e a sua equipa aventuraram-se na descoberta de problemas, que resultou num relatório de 31 páginas que detalhavam os vários problemas encontrados. Neste relatório, estava também incluída a chave privada do certificado SSL da DJI, que foi acidentalmente publicada no GitHub pela própria empresa chinesa, e que permitia aceder a um grande conjunto de informações armazenadas nos servidores sobre os clientes.
Após entregar o relatório, a DJI referiu que lhe seria atribuído o prémio máximo de 30 mil dólares. No entanto, nas semanas seguintes, a entrega deste dinheiro não foi assim tão fácil, depois de terem acontecido várias negociações que atrasaram o processo. Nestas negociações, estariam incluídas cláusulas sobre o que Kevin e a sua equipa podiam ou não falar, de forma a garantir o seu silêncio sobre os problemas. Além disso, recebeu ainda uma carta referindo que este não poderia aceder aos servidores da DJI e que a empresa tinha direito a levantar uma ação legal ao abrigo da lei de abuso e fraude computacional. Após estes acontecimentos, Kevin e a sua equipa decidiram sair do acordo.
A DJI já se pronunciou oficialmente, referindo que pede aos investigadores que sigam os termos standard do programa, que são desenhados para proteger os dados confidenciais e para permitir a análise e resolução da vulnerabilidade antes de ser conhecida publicamente. Sobre este caso específico, a DJI afirmou que Kevin recusou aceitar esses termos, embora a DJI tenha feito várias tentativas para chegar a acordo com o mesmo.
Embora Kevin não tenha aceite as condições impostas pela DJI, a verdade é que este descobriu falhas graves nos servidores que, segundo a marca chinesa, também estariam abrangidas por este programa, tendo posteriormente sido ameaçado com um processo legal devido a esta ação.
A DJI já lançou uma página destinada a dar informação mais detalhada sobre este programa, algo que não existia até ao momento.
Este artigo tem mais de um ano
Tinha menos trabalho e mais dinheiro se vendesse a informação no ‘mercado negro’.
E o que dá ser honesto 🙁
É o que dá trabalhar com empresas chinesas …
Tão Brasil isso….
Pode ser que tenha aprendido a lição. Para a próxima já sabe o que fazer.
Boas piri_vm,
a marca está numa de levar um rombo por alguns menos honestos… Estas atitudes pedem mesmo um valente roubo, com direito a ir parar tudo ao mercado negro… Depois aposto que iriam repensar a politica com que interagem com a comunidade à sua volta…
Eu só por essa não compro nada deles (sem sarcasmo)
Esta marca DJI já mostrou a bosta que é. Bem que estavam os militares dos EUA preocupados com esta marca, a ponto de proibirem a utilização de drones dessa empresa.
Os grandes fazem bug bounties e pagam aos investigadores, esses continuam a remar contra a maré. Palermas 🙂
Isto é só estúpido!
Ameaçam com processo é querem que aceite os termos?
Falta explicar que a ameaça de processo é para o caso de eles tentarem usar as informações que descobriram para aceder a algo mais que nao devam
pedro
e como é suposto fazerem testes de segurança se não o “podem” fazer?
é pura e simplesmente estupido, quer dizer, encontrei um bug que me dá a tua passe do face, mas não a posso utilizar porque tu não autorizas.
acho que se eu for mal intencionado, nem quero saber se autorizas ou não… entro e já está.
fuk logic.