DJI угрожает судом специалисту по кибербезопасности, обнаружившему ключи доступа к учеткам компании на GitHub

marks 20 ноября в 12:38 17,9k
image

О квадрокоптерах компании DJI на Geektimes писали много раз. В большинстве своем это действительно неплохие устройства. У них есть ряд проблем, которые могут доставлять неудобства пользователям, но все решаемо. Не так давно стало известно, что разработчики программного обеспечения DJI оставили в открытом доступе приватные ключи для «wildcard» сертификата всех веб-доменов компании, а также к учетным записям DJI для Amazon Web Services. Используя эту информацию, исследователь по кибербезопасности Кевин Финистерр смог получить доступ к данным полетов квадрокоптеров DJI клиентов компании. Сюда входят трекинг, фотографии водительских удостоверений, паспортов и прочих документов этих людей. В некоторых случаях «засветились» даже данные трекинга полетов коптеров с аккаунтов, которые явно принадлежат правительственным структурам.

У компании есть программа по привлечению сторонних специалистов к ликвидации уязвимостей в ПО DJI. Речь идет о bug bounty, анонсированной в августе. Исследователь, о котором говорилось выше, как раз и искал уязвимости, надеясь получить вознаграждение. Но пока все, что он получил — это угроза со стороны DJI начать расследование его действий согласно CFAA (Computer Fraud and Abuse Act). После этого специалист принял решение действовать самостоятельно, без уведомления DJI о своих планах. Он опубликовал информацию о находках, сопроводив материал пояснениями о причине отказа от условий баунти-программы DJI.

Китайцы запустили свою программу поощрения экспертов по информационной безопасности после того, как военные США отказались от работы с устройствами компании. Насколько можно понять, руководство ВВС страны приняло такое решение, опасаясь того, что правительство Китая получает всю собранную дронами DJI информацию.

Чуть позже стали распространяться случаи взлома прошивки дронов компании. Модифицированные версии firmware стали размещать на Github и в других местах. Появились и компании, которые занимались этим за деньги, заменяя фирменное ПО собственным, лишенным ряда недостатков и уязвимостей, мешавших пользователям.

Кевин Финнистер решил присоединиться к bug-bounty программе от DJI. Начав работу, он почти случайно обнаружил, что разработчики компании оставили на Github архив с закрытыми ключами для HTTPS-сертификатов *.dji.com, AES-ключами шифрования прошивок, а также паролями доступа к облачным окружениям в AWS и к ряду инстансов облачного сервиса Amazon S3. Причем эта информация находилась в открытом доступе уже давно — в течение нескольких лет. Финнистер провел дополнительный поиск и обнаружил на том же GutHub частные ключи от AWS для фотошерингового сервиса SkyPixel. Аккаунты оказались валидными на момент проверки. На сервисе обнаружилась масса материалов, которые отправляли пользователи дронов DJI в службу поддержки компании. Это, в том числе, фотографии поврежденных квадрокоптеров, счета и другая личная информация пользователей, и даже снимки людей с повреждениями, нанесенными пропеллерами винтов коптеров.

Финнистер отправил запрос в службу поддержки компании с просьбой сообщить, подпадает ли все, обнаруженное им, под положения баунти-программы и стал ждать ответа. Реакции со стороны китайской компании не было в течение двух недель, после чего было получено сообщение следующего характера: «К bug bounty программе имеют отношения все проблемы в ПО, приложениях и сетевых элементах, включая утечку программного обеспечения или уязвимости в системе безопасности. Мы работаем над созданием подробного руководства».

После получения подобного подтверждения Финистер начал составлять отчет с описанием всех обнаруженных им уязвимостей и проблем. Документирование большого количества деталей — дело непростое, но все было сделано в кратчайшие сроки. После этого Финистер связался с сотрудником DJI, предоставив ему подробное объяснение почти всех найденных проблем. Тот в оперативном режиме ответил и завязалась деловая переписка. Общение было достаточно продолжительным, переписка к ее завершению состояла из 130 сообщений электронной почты. Ничего не предвещало проблем.

Затем последовало предложение Финистеру стать штатным консультантом по вопросам кибербезопасности.

Но после Финистер получил еще одно письмо, где указывалось, что серверные уязвимости не подпадают под условия баунти программы. Тем не менее, ему сказали, что награду он получит, ее размер — $30 000. И все — поток сообщений со стороны компании практически иссяк, Финистер ничего не получал в течение месяца.

В конце концов специалист получил очередное предложение, вернее, это было соглашение о неразглашении обнаруженных им проблем. Финистер не согласился с условиями соглашения, заявив, что оно нарушает его право на свободу слова.

Он попробовал связаться с другими подразделениями DJI для прояснения ситуации, но безуспешно. Зато с ним связалось юридическое подразделение компании из Шенчьженя. Юристы заявили о необходимости удалить все данные с описанием обнаруженных проблем. В противном случае, рассказали юристы, на Финистера может быть подан иск в суд, с обвинением во взломе серверов компании и похищения информации, представляющей коммерческую ценность. Это же подразделение прислало ему договор, содержащий пункты с перечисленными выше требованиями.

Финистер решил проконсультироваться с профессиональными юристами в своей стране относительно пунктов договора. По его словам, четверо специалистов, к которым он обращался по отдельности, рассказали о том, что документ не содержит никаких гарантий для него лично, но зато оказывает всемерную поддержку позициям составителей, то есть компании DJI.

В последней версии договора, которую получил Финистер, ничего особенно не изменилось. «Четыре юриста, к которым я обращался, рассказали, что договор чрезвычайно рискованный, он составлен так, чтобы заставить замолчать человека, подписавшего его». Консультации обошлись в несколько тысяч долларов США. То есть эксперт по кибербезопасности не только не получил никаких денег от DJI, но и потерял собственные средства (правда, по своей собственной воле).

image

Финистер выразил недовольство китайской компании в связи с угрозами начать судебное преследование, и те предпочли вообще прекратить всякое общение, отказавшись от выплаты $30 000, обещанных ранее.

После этого DJI опубликовала официальное сообщение, где говорилось о проводимом компании расследовании относительно проблем с информационной безопасностью. DJI сообщила, что привлекла к работе частную компанию, работающую в сфере кибербезопасности, которая провела тщательное расследование происшедшего. Упоминается в сообщении и Финистер, которого DJI называет «хакером», разместившего информацию о переписке с сотрудниками компании и данные о найденных им уязвимостях в общем доступе.

Китайская компания заявляет, что уже выплатила тысячи долларов дюжине исследователей, занятых в сфере информационной безопасности. А вот Финистер, по словам представителей DJI, отказался от сотрудничества, предпочтя публикацию обнаруженных им сведений в открытом доступе.

В описании баунти-программы говорится, что под ее положения не подпадает изучение материалов или сервисов сторонних компаний, включая те из них, что все же имеют связь с приложениями DJI. То есть, другими словами, найденные на GitHub материалы не засчитываются. Пока, правда, не вполне ясно, существовали ли эти положения до начала работы Финистера или были добавлены впоследствии, уже после того, как он обратился в компанию.

Квадрокоптеры DJI с «фабричным» ПО собирают большое количество информации о перемещениях устройства. Дело в том, что DJI установила в своих дронах специальный софт, который определяет местоположение устройства, сверяясь с координатами запрещенных для полетов регионов (No Fly Zone). Разработчики считают, что функция No Fly Zone (NFZ) позволяет уберечь своих клиентов от неприятностей. Эти данные отправляются на сервера компании, что не нравится не только военным США, но и обычным пользователям.

Одно из решений — использование прошивок сторонних компаний. Летом этого года на Geektimes сообщалось о том, что выпускать собственные прошивки и джейлбрейки начала одна из российских компаний, Coptersafe. «Это очень хорошо, что DJI беспокоится о безопасности», — сообщал в свое время представитель Coptersafe. «Но я считаю, что эти ограничения должны устанавливаться на местном уровне».
Проголосовать:
+25
Сохранить: