DJI, baruffa sui droni con server bucati

DJI, baruffa sui droni con server bucati

Un ricercatore identifica un grave problema di sicurezza e avverte l'azienda cinese, che per tutta risposta minaccia di denunciarlo se comunicherà ad altri quanto scoperto. Tentativo di censura o problema di comunicazione?
Un ricercatore identifica un grave problema di sicurezza e avverte l'azienda cinese, che per tutta risposta minaccia di denunciarlo se comunicherà ad altri quanto scoperto. Tentativo di censura o problema di comunicazione?

Kevin Finisterre, ricercatore interessato alla sicurezza (o per meglio dire insicurezza) dei droni, è incappato in un grosso problema sui server di DJI . L’azienda cinese ha prima accolto con favore la comunicazione di Finisterre promettendogli in cambio il pagamento di una taglia, ma i termini entro i quali si sarebbe dovuta svolgere la collaborazione hanno spinto il ricercatore a denunciare l’accaduto in quello che si configura come un possibile tentativo di censura da parte della corporation asiatica.


All’origine del problema ci sarebbe il programma di taglie imbastito da DJI lo scorso agosto, con premi in denaro fino a 30.000 dollari per chi riesca a individuare gravi vulnerabilità di sicurezza all’interno dei prodotti aziendali. E il problema individuato da Finisterre è di quelli davvero grossi, visto che il ricercatore è incappato nel certificato SSL di una chiave privata di DJI.

Il certificato faceva bella mostra di sé su GitHub , e grazie al suo possesso Finisterre è riuscito a mettere le mani su alcuni dati dei clienti di DJI archiviati sui server di quest’ultima. Il ricercatore aveva inizialmente contattato l’azienda, che a onor del vero ha riconosciuto la gravità del problema promettendogli il pagamento della taglia da 30.000 dollari .

Stando a quanto dice Finisterre , però, dopo questo primo approccio positivo le cose sono andate diversamente: DJI ha imposto al ricercatore di tenere la bocca chiusa sulla falla , pena l’avvio di una causa legale per violazione del Computer Fraud and Abuse Act (CFAA).

Consultatosi con i suoi avvocati, Finisterre ha quindi deciso di non accettare i termini e di far esplodere lo “scandalo” con un report pubblicamente accessibile a tutti. DJI ha quindi risposto ufficialmente alle accuse dell’hacker parlando della necessità di difendere la confidenzialità dei dati e di risolvere le vulnerabilità prima della loro pubblicazione.

Più che un tentativo di censura, insomma, l’incidente con Finisterre sarebbe figlio di un problema di comunicazione in cui le due parti non hanno espresso nel migliore dei modi le rispettive intenzioni. Per evitare ulteriori incidenti in futuro, DJI ha ora implementato un Security Response Center con tanto di policy per i partecipanti.

Alfonso Maruccia

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 22 nov 2017
Link copiato negli appunti