Después de anunciar su programa de recompensas para que cualquiera pueda descubrir huecos de seguridad a cambio de dinero, DJI amenaza a un ingeniero que reportó un fallo en sus servidores.
Al igual que muchas otras compañías, como Google, Microsoft o Facebook, el mayor fabricante de drones de la actualidad, DJI, activó un programa de recompensas para aquellas personas que descubrieran fallos que pudieran afectar la seguridad de consumidores, como la filtración de datos privados, información personal, fotos, videos o registros de vuelo.
Es una iniciativa interesante porque los drones presentan nuevos retos y fronteras entre la privacidad, la libertad de vuelo y regulaciones locales.
En ese sentido, un ingeniero de software llamado Kevin Finisterre descubrió un hueco de seguridad importante en la infraestructura de DJI que les permitió acceder a información privada de clientes. Resulta que la compañía hizo pública (sin querer, obviamente) la llave privada del certificado SSL y de la llave AES usada para firmar la autenticidad de las actualizaciones de firmware de sus drones.
Finisterre escribió a DJI y preguntó si sus servidores están dentro del alcance del programa de recompensa por identificación de fallos. La respuesta de la empresa fue sí.
Esto lo llevó a empezar a hacer investigación y averiguación. No solo descubrió que la llave privada antes mencionada estaba expuesta en Github hace cuatro años, sino que algunas cuentas de Amazon Web Services de la empresa estaban marcadas como públicas, por lo que cualquiera podía acceder a archivos adjuntos de emails recibidos, imágenes de drones averiados, facturas y alguna que otra foto de personas lastimadas por las hélices de los drones.
Finisterre volvió a insistir a la marca, quienes después de dos semanas ratificaron que el programa de recompensas por descubrir fallos de seguridad incluía sus servidores.
La respuesta de DJI fue lo suficientemente convincente para iniciar un largo proceso de documentación de los fallos de seguridad descubiertos. Además de todo lo anterior descubrió que había información con la que se podía hacer una correlación entre datos expuestos y personas, el fallo de seguridad, claramente, era muchísimo más grande de lo que inicialmente se creía, por lo que contactó inmediatamente a la compañía e hizo el aviso.
130 emails después, Finisterre había explicado y detallado los problemas de seguridad a los que DJI se enfrentaba. La compañía, en algún momento le ofreció un puesto como consultor de seguridad.
Pero todo cambió el momento en que envió el reporte final de fallos de seguridad. La respuesta, por parte de un ejecutivo de la empresa, explicaba que los servidores de la empresa "ya no están dentro del programa de recompensa". Aún así, poco tiempo después recibió un email avisándole que su reporte obtuvo el puesto más alto y recibiría 30.000 dólares.
Un mes más tarde recibió otro email, esta vez con un contrato, el cual le obligaba a no discutir detalles del trabajo que había hecho de forma pública, también le obligaba a decir que el no había hecho trabajo de seguridad para DJI en ningún momento.
Poco después el departamento legal de la empresa en China donde se le obligaba destruir toda información y datos descubiertos durante la investigación a riesgo de enfrentar cargos legales.
Finisterre renunció a los 30.000 dólares e hizo pública toda la investigación realizada, con capturas de pantalla, detalles técnicos y todo el lío legal al cual DJI quería meterlo. Para un experto en seguridad la recompensa económica es tan importante como la recompensa mediática detrás del descubrimiento de un fallo de seguridad, especialmente en empresas grandes.
Ars Technica se puso en contacto con el director de comunicaciones de DJI en América del Norte, quien se refirió a Kevin Finisterre como un hacker que quiso aprovecharse de la situación, que publicó información confidencial y que no siguió los pasos correctos para obtener la recompensa por descubrir el fallo.
Ahora, [email protected] se ha desactivado. Fue la la dirección de correo que DJI habilitó para reportar fallos de seguridad y entrar en el programa de recompensas.
Cualquier email enviado a esa dirección recibe una respuesta automática que dice:
Por favor tenga en cuenta que a partir del 16 de noviembre de 2017 no aceptamos reportes de fallos vía email. Si tiene preguntas puede contactarnos desde [email protected] y responderemos a la brevedad.
DJI sigue recibiendo reportes desde una web creada para temas de seguridad, pero tal vez sea muy tarde y ya han perdido toda la confianza de la comunidad.
Continúar leyendo...