Com ja passa en moltes companyies internacionals, parlem per exemple d'empreses de la talla de Microsoft, Amazon, Google, Facebook ..., DJI va decidir posar en marxa una plataforma mitjançant la qual, d'una manera molt senzilla, qualsevol persona externa a la companyia que detecta algun problema o fallada que pugui afectar la seguretat de qualsevol consumidor dels seus productes, pogués reportar-i rebre a canvi una recompensa.
Com estem acostumats a veure, parlem d'una iniciativa molt temptadora i interessant per a molts usuaris avançats capaços de detectar aquest tipus de problemes ja que, alhora que ells reben normalment una recompensa econòmica molt interessant que els fa seguir treballant en aquest tipus de troballes, l'empresa pot millorar notablement la seguretat dels seus serveis, Sobretot els que afecten a determinats dades privades dels seus clients com pot ser la seva informació personal, fotos, vídeos o registres de vol.
DJI amenaça un usuari que demanava la seva recompensa després de trobar una fallada de seguretat en els seus servidors
Arribats a aquest punt vull parlar-te de el cas de Kevin Finisterre, Un enginyer programari que va ser capaç de detectar una fallada de seguretat en els servidors de DJI que li va permetre accedir a la informació privada de clients. El problema va ser que la companyia, sense voler, va fer pública la clau privada de l'certificat SSL que utilitzaven i la clau AES empra per a signar l'autenticitat de les actualitzacions de firmware de les seves drones.
Kevin Finisterre, a l'adonar-se d'aquest error, va decidir escriure a DJI i preguntar si els seus servidors estan dins de l' abast del programa de recompensa a l'identificar fallades al que la pròpia DJI li va contestar amb un Si. Amb aquesta resposta es va posar a investigar i va descobrir que la clau privada del seu certificat digital estava en un repositori de Github des de fa més de quatre anys i que algunes de les seves comptes a Amazon Web Service estaven marcades com a públiques pel que qualsevol usuari podia tenir accés a milers d'arxius, factures, fotos de persones ...
Amb aquesta investigació, Kevin Finisterre va començar a demanar informació i realitzar centenars d'informes, un investigació que finalment va acabar amb uns 130 emails a DJI detallant els problemes de seguretat que havia trobat en els seus servidors. La resposta de DJI va ser la d'indicar que els servidors ja no estaven dins del programa de recompensa tot i que, a l'poc temps, va rebre un correu electrònic indicant que havia obtingut el lloc més alt quant a recompenses, el que el portava a guanyar 30.000 dòlars.
Poc temps després va rebre un correu electrònic amb un contracte que l'obligava a no discutir detalls de la feina que havia realitzat de forma pública al mateix temps que l'obligava a dir que no havia realitzat cap tipus de treball de seguretat per DJI en cap moment. Poc després va ser el departament legal de DJI el que es va posar en contacte amb el per obligar-lo a destruir tota la informació i dades descobertes durant la investigació si no volia enfrontar-se a càrrecs legals.