يهدد DJI المحكمة بأخصائي الأمن الإلكتروني الذي اكتشف مفاتيح الوصول إلى حسابات الشركة على GitHub

حول شركة DJI quadrocopters في Geektimes تمت كتابتها عدة مرات. بالنسبة للجزء الأكبر ، هذه أجهزة جيدة حقًا. لديهم عدد من المشاكل التي يمكن أن تسبب إزعاجًا للمستخدمين ، ولكن يتم حل كل شيء. منذ وقت ليس ببعيد ، أصبح من المعروف أن مطوري برامج DJI تركوا مفاتيح خاصة مفتوحة لشهادة البدل لجميع نطاقات الويب للشركة ، وكذلك حسابات DJI لخدمات Amazon Web Services. باستخدام هذه المعلومات ، تمكن باحث الأمن السيبراني Kevin Finisterr من الوصول إلى بيانات رحلة عملاء DJI للشركة. وهذا يشمل تتبع وصور رخص القيادة وجوازات السفر وغيرها من الوثائق لهؤلاء الأشخاص. في بعض الحالات ، حتى تتبع بيانات رحلات المروحيات من الحسابات التي تنتمي بوضوح إلى الوكالات الحكومية "أضاءت".

لدى الشركة برنامج لجذب متخصصين من جهات خارجية للقضاء على نقاط الضعف في برنامج DJI. تم الإعلان عن هذا المكافأة في أغسطس. الباحث المذكور أعلاه كان يبحث فقط عن نقاط الضعف ، على أمل الحصول على مكافأة. ولكن في الوقت الحالي ، كل ما حصل عليه كان تهديدًا من DJI لبدء تحقيق في أفعاله بموجب قانون CFAA (قانون الاحتيال وإساءة استخدام الكمبيوتر). بعد ذلك ، قرر الأخصائي التصرف بشكل مستقل ، دون إخطار DJI بخططه. نشر معلومات حول الاكتشافات ، مصاحبة للمواد مع تفسيرات حول سبب رفض شروط برنامج المكافأة DJI.

أطلق الصينيون برنامجهم لتشجيع خبراء أمن المعلومات بعد أن رفض الجيش الأمريكي العمل مع أجهزة الشركة. بقدر ما تستطيع أن تفهم ، اتخذت قيادة القوات الجوية للبلاد هذا القرار ، خوفًا من أن الحكومة الصينية ستتلقى جميع المعلومات التي جمعتها طائرات بدون طيار DJI.

بعد ذلك بقليل ، بدأت حالات كسر البرامج الثابتة للشركة بدون طيار في الانتشار. بدأ نشر إصدارات البرامج الثابتة المعدلة على Github وأماكن أخرى. كانت هناك أيضًا شركات فعلت ذلك من أجل المال ، واستبدلت البرمجيات الاحتكارية ببرامج خاصة بها ، خالية من عدد من أوجه القصور ونقاط الضعف التي تدخلت في المستخدمين.

قرر Kevin Finnister الانضمام إلى برنامج bug-bounty من DJI. في بداية العمل ، اكتشف عن طريق الصدفة أن مطوري الشركة تركوا أرشيفًا على Github مع مفاتيح خاصة لشهادات HTTPS * .dji.com ، ومفاتيح AES لتشفير البرامج الثابتة ، بالإضافة إلى كلمات مرور للوصول إلى بيئات السحابة في AWS وعدد من مثيلات خدمة السحابة من Amazon ق 3. علاوة على ذلك ، كانت هذه المعلومات في المجال العام لفترة طويلة - لعدة سنوات. أجرى Finnister بحثًا إضافيًا وتم العثور عليه على نفس مفاتيح GutHub الخاصة من AWS لخدمة مشاركة الصور SkyPixel. كانت الحسابات صالحة في وقت التحقق. كشفت الخدمة عن الكثير من المواد التي تم إرسالها من قبل مستخدمي طائرات بدون طيار DJI إلى خدمة دعم الشركة. هذا ، بما في ذلك الصور من أجهزة الكمبيوتر الرباعية التالفة والحسابات والمعلومات الشخصية الأخرى للمستخدمين ، وحتى صور الأشخاص الذين يعانون من الضرر الناجم عن مراوح مسامير المروحية.

أرسل Finnister طلبًا إلى خدمة دعم الشركة مع طلب للإبلاغ عما إذا كان كل شيء اكتشفه يقع ضمن أحكام برنامج المكافأة وانتظر الرد. لم يكن هناك رد فعل من الشركة الصينية لمدة أسبوعين ، وبعد ذلك تم تلقي رسالة من الطبيعة التالية: "ترتبط جميع المشاكل في البرامج والتطبيقات وعناصر الشبكة ، بما في ذلك تسرب البرامج أو الثغرات الأمنية ، ببرنامج مكافأة الخطأ. نحن نعمل على دليل مفصل ".

بعد تلقي هذا التأكيد ، بدأ فينيستر في إعداد تقرير يصف جميع نقاط الضعف والمشكلات التي اكتشفها. إن توثيق عدد كبير من التفاصيل ليس بالمهمة السهلة ، ولكن تم عمل كل شيء في أقرب وقت ممكن. بعد ذلك ، اتصل فينيستر بموظف DJI ، وقدم له شرحًا تفصيليًا لجميع المشاكل التي تم العثور عليها تقريبًا. أجاب على الفور وتبع ذلك مراسلات تجارية. كان الاتصال طويلاً جداً ، وكانت المراسلات لإتمامه تتألف من 130 رسالة بريد إلكتروني. لا شيء ينذر المشاكل.

وأعقب ذلك عرض لشركة Finister لتصبح مستشارًا بدوام كامل في قضايا الأمن السيبراني.

ولكن بعد أن تلقت فينيستر خطابًا آخر يفيد بأن ثغرات الخادم لم تندرج تحت شروط برنامج المكافأة. ومع ذلك ، قيل له أنه سيحصل على الجائزة ، وحجمها 30 ألف دولار ، وهذا كل شيء - فقد جفت تدفق الرسائل من الشركة عمليا ، ولم يتلق فينيستر أي شيء لمدة شهر.

في النهاية ، تلقى المتخصص عرضًا آخر ، أو بالأحرى ، كان اتفاقًا على عدم الكشف عن المشكلات التي اكتشفها. لم يوافق فينيستر على شروط الاتفاقية ، قائلاً إنها تنتهك حقه في حرية الكلام.

حاول الاتصال بوحدات DJI الأخرى لتوضيح الوضع ، ولكن دون جدوى. ولكن تم الاتصال به من قبل القسم القانوني للشركة من شنتشن. ذكر المحامون ضرورة حذف جميع البيانات التي تصف المشاكل التي تم العثور عليها. خلاف ذلك ، قال المحامون ، يمكن مقاضاة فينيستر بتهمة اختراق خوادم الشركة وسرقة معلومات ذات قيمة تجارية. أرسلت له نفس الوحدة اتفاقية تحتوي على بنود مع المتطلبات المذكورة أعلاه.

قرر فينيستر التشاور مع محامين محترفين في بلاده بخصوص بنود العقد. وفقا له ، قال أربعة متخصصين ، خاطبهم بشكل منفصل ، إن الوثيقة لا تحتوي على أي ضمانات له شخصيا ، لكنه يقدم دعمًا شاملاً لمواقف الصائغي ، أي DJI.

في النسخة الأخيرة من العقد ، التي تلقاها فينيستر ، لم يتغير شيء بشكل خاص. "قال المحامون الأربعة الذين اتصلت بهم أن العقد خطير للغاية ، وهو مصمم لإسكات الشخص الذي وقع عليه." تكلف المشاورات عدة آلاف من الدولارات الأمريكية. أي أن خبير الأمن الإلكتروني لم يتلق فقط أي أموال من DJI ، ولكنه فقد أيضًا أمواله الخاصة (على الرغم من إرادته الحرة).



أعرب فينيستر عن عدم رضائه عن الشركة الصينية فيما يتعلق بالتهديدات ببدء الملاحقة القضائية ، وفضلوا إيقاف جميع الاتصالات تمامًا ، رافضين دفع 30 ألف دولار التي وعدوا بها سابقًا.

بعد ذلك ، نشر DJI رسالة رسمية تفيد أنه يحقق في مشاكل أمن المعلومات في الشركة. قالت شركة DJI أنها استعانت بشركة خاصة للأمن السيبراني لإجراء تحقيق شامل في الحادث. ورد في الرسالة اسم Finister ، الذي يطلق عليه DJI اسم "الهاكر" ، الذي نشر معلومات حول المراسلات مع موظفي الشركة وبيانات حول نقاط الضعف التي وجدها في المجال العام.

تدعي الشركة الصينية أنها دفعت آلاف الدولارات لعشرات الباحثين العاملين في مجال أمن المعلومات. لكن فينيستر ، وفقًا لممثلي شركة DJI ، رفض التعاون ، مفضلاً نشر المعلومات التي اكتشفها في المجال العام.

يوضح وصف برنامج المكافأة أنه لا يغطي دراسة المواد أو الخدمات لشركات الطرف الثالث ، بما في ذلك تلك التي لا تزال لديها اتصال بتطبيقات DJI. أي أن المواد الموجودة على GitHub لا تحتسب. ومع ذلك ، ليس من الواضح تمامًا حتى الآن ما إذا كانت هذه الأحكام موجودة قبل أن يبدأ Finister في العمل أو تمت إضافته لاحقًا ، بعد اتصاله بالشركة.

يجمع Quadcopters DJI مع برنامج "factory" كمية كبيرة من المعلومات حول تحركات الجهاز. والحقيقة هي أن DJI قامت بتثبيت برامج خاصة في طائراتها بدون طيار ، والتي تحدد موقع الجهاز ، والتحقق من إحداثيات المناطق المحظورة للرحلات ( لا توجد منطقة طيران ). يعتقد المطورون أن وظيفة No Fly Zone (NFZ) تسمح لك بحماية عملائهم من المتاعب. يتم إرسال هذه البيانات إلى خوادم الشركة ، وهي ليست ممتعة فقط للجيش الأمريكي ، ولكن أيضًا للمستخدمين العاديين.

حل واحد هو استخدام البرامج الثابتة لجهة خارجية. أفيد في هذا الصيف في Geektimes أن إحدى الشركات الروسية ، Coptersafe ، أطلقت برامجها الثابتة وحواجزها. قال متحدث باسم Coptersafe في وقت من الأوقات: "من الجيد جدًا أن DJI قلقة بشأن الأمن". "لكنني أعتقد أنه يجب وضع هذه القيود على المستوى المحلي."