DJI amenaza con procesar a un investigador que descubrió varios bugs en su plataforma

0

En agosto, DJI lanzó un programa de “caza a los bugs”, que recompensaba a todos aquellos que encontrasen algún fallo importante. Sin embargo, un descubrimiento de un gran número de bugs le podrá costar a un investigador un proceso legal.

De forma a mejorar sus productos y sistemas, muchas marcas abren programas de caza a los bugs, donde pagan valores altos a quienes descubran errores en sus plataformas.

DJI decidió, en agosto, seguir la misma estrategia y lanzó un programa de caza a los bugs que garantizaba valores de hasta 30.000 dólares, dependiendo de la gravedad del bug. Sin embargo, por las palabras de un investigador de seguridad, este proceso no es tan fácil como parece.

Antes de iniciar la búsqueda de errores, Kevin Finisterre, investigador de seguridad, cuestionó a DJI si sus servidores se encontraban también dentro de este programa. Aunque la respuesta haya demorado, la marca china confirmó que estos problemas también estarían cubiertos.

Tras la confirmación, Kevin y su equipo se aventuraron en la búsqueda de problemas, que ha resultado en un informe de 31 páginas que detallaban los varios problemas encontrados. En este informe, estaba también incluida la llave privada del certificado SSL de DJI, que fue accidentalmente publicada en el GitHub por la propia empresa china, y que permitía acceder a un gran conjunto de informaciones almacenadas en los servidores sobre los clientes.

Te puede interesar: DJI cuenta con un dron capaz de grabar películas de forma profesional

Tras entregar el informe, DJI dijo que se le atribuiría el premio máximo de 30 mil dólares. Sin embargo, en las semanas siguientes, la entrega de este dinero no fue tan sencilla, después de que hubiesen ocurrido varias negociaciones que atrasaron el proceso. En estas negociaciones, estarían incluidas cláusulas sobre lo que Kevin y su equipo podían o no hablar, de forma a garantizar su silencio sobre los problemas. Además, ha recibido también una carta donde decía que este no podría acceder a los servidores de DJI y que la empresa estaría en todo su derecho a procesarlo legalmente por abuso y fraude computacional. Tras estos acontecimientos, Kevin y su equipo decidieron salir del acuerdo.

DJI ya se ha pronunciado oficialmente, diciendo que pide a los investigadores seguir los términos standard del programa, que son diseñados para proteger los datos confidenciales y para permitir el análisis y resolución de vulnerabilidad antes de ser conocida públicamente. Sobre este caso específico, DJI afirmó que Kevin se negó en aceptar estos términos, aunque DJI hubiese intentado varias veces hacer el acuerdo con él.

Aunque Kevin no haya aceptado las condiciones impuestas por DJI, la verdad es que esta ha descubierto fallos graves en los servidores. DJI ya lanzó una página destinada a dar información más detallada sobre este programa, algo que no existía hasta el momento.

Deja una respuesta

Su dirección de correo electrónico no será publicada.