Al igual que muchas otras compañías, como Google, Microsoft o Facebook, el mayor fabricante de drones de la actualidad, DJI, activó un programa de recompensaspara aquellas personas que descubrieran fallos que pudieran afectar la seguridad de consumidores, como la filtración de datos privados, información personal, fotos, videos o registros de vuelo.
Es una iniciativa interesante porque los drones presentan nuevos retos y fronteras entre la privacidad, la libertad de vuelo y regulaciones locales.
En ese sentido, un ingeniero de software llamado Kevin Finisterre descubrió un hueco de seguridad importante en la infraestructura de DJI que les permitió acceder a información privada de clientes. Resulta que la compañía hizo pública (sin querer, obviamente) la llave privada del certificado SSL y de la llave AES usada para firmar la autenticidad de las actualizaciones de firmware de sus drones.
Finisterre escribió a DJI y preguntó si sus servidores están dentro del alcance del programa de recompensa por identificación de fallos. La respuesta de la empresa fue sí.
Esto lo llevó a empezar a hacer investigación y averiguación. No solo descubrió que la llave privada antes mencionada estaba expuesta en Github hace cuatro años, sino que algunas cuentas de Amazon Web Services de la empresa estaban marcadas como públicas, por lo que cualquiera podía acceder a archivos adjuntos de emails recibidos, imágenes de drones averiados, facturas y alguna que otra foto de personas lastimadas por las hélices de los drones.
Finisterre volvió a insistir a la marca, quienes después de dos semanas ratificaron que el programa de recompensas por descubrir fallos de seguridad incluía sus servidores.
La respuesta de DJI fue lo suficientemente convincente para iniciar un largo proceso de documentación de los fallos de seguridad descubiertos. Además de todo lo anterior descubrió que había información con la que se podía hacer una correlación entre datos expuestos y personas, el fallo de seguridad, claramente, era muchísimo más grande de lo que inicialmente se creía, por lo que contactó inmediatamente a la compañía e hizo el aviso.
130 emails después, Finisterre había explicado y detallado los problemas de seguridad a los que DJI se enfrentaba. La compañía, en algún momento le ofreció un puesto como consultor de seguridad.
Pero todo cambió el momento en que envió el reporte final de fallos de seguridad. La respuesta, por parte de un ejecutivo de la empresa, explicaba que los servidores de la empresa “ya no están dentro del programa de recompensa”. Aún así, poco tiempo después recibió un email avisándole que su reporte obtuvo el puesto más alto y recibiría 30.000 dólares.
