Специалист по компьютерной безопасности Кевин Финистерре получил угрозы судом вместо заслуженной выплаты за уязвимость, найдённую в ПО дронов DJI, сообщает The Next Web.
Исследователь обнаружил в публично доступном коде на GitHub учётные данные веб-доменов DJI и аккаунтов компании в Amazon Web Services. Благодаря этому он получил доступ к истории полётов дронов, изображениям пользователей DJI и снимкам их личных документов.
Финистеррре отправил отчёт о найдённой уязвимости и получил в ответ сообщение о том, что ему положено максимальное вознаграждение размером в $30 тысяч. Однако в следующий раз представители DJI вышли на связи почти через несколько недель и потребовали от специалиста подписать документ, запрещающий ему обсуждать найденные проблемы и использовать их. Финистерре решил отказаться от получения денег, потому что не смог «смягчить тон» документа. В процессе переписки он даже получил письмо с угрозами судебного иска за взлом и неправомерное использование компьютерного кода.
Как утверждает The Next Web, такое развитие событий в самом начале работы программы по поиску уязвимостей в дронах DJI ставит под сомнение всё её существование. Компания должна иметь стандартизированную процедуру уведомления о проблемах в защите, которая учитывает интересы задействованных специалистов по безопасности, а не только самой компании.
DJI объявила о старте выплат за найденные уязвимости несколько месяцев назад, вскоре после того, как армия США отказалась от использования устройтв из соображений безопасности. Размер обещаемых выплат варьируется от $10 до $300.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.