A mais conhecida fabricante de drones do mundo, a DJI, deixou dados de clientes expostos publicamente no GitHub. Quem descobriu foi o pesquisador Kevin Finisterre, que alertou a empresa sobre o problema em setembro (no programa de Bug Bounty). Acontece que a DJI não gostou dessa "história", e ameaçou processar Finisterre sob leis de fraude cibernética.
Especificamente, o pesquisador descobriu que desenvolvedores da DJI deixaram chaves privadas para certificados HTTPS expostas no GitHub durante quatro anos. Além disso, também estavam públicas chaves para o armazenamento na nuvem em contas da Amazon Web Services.
A DJI chamou o pesquisador de "hacker", como se isso fosse algo pejorativo
Dessa maneira, Finisterre conseguiu checar dados de voos, imagens capturadas por clientes da DJI, fotos de registro, licenças de voo e até passaportes. Para participar do programa de Bug Bounty da empresa, lançado em agosto, o pesquisador enviou todos os documentos necessários para a DJI.
Após receber os documentos, a DJI comentou que as descobertas valiam US$ 30 mil via Bug Bounty. Contudo, cerca de um mês depois, a DJI quis fechar um contrato com o pesquisador deixando claro que não ofereceria qualquer proteção legal e que ele deveria destruir os dados descobertos — caso contrário, seria processado via CFAA (Computer Fraud and Abuse Act). Segundo Finisterre, tudo pareceu um "acordo para ficar em silêncio".
Agindo de maneira ética, o pesquisador desistiu do acordo e dos US$ 30 mil. O Ars Technica entrou em contato com a DJI, que ainda chamou o pesquisador de "hacker" como se isso fosse algo pejorativo. "Um hacker obteve dados postados online em comunicações confidenciais entre funcionários (...) A DJI pede para que os pesquisadores sigam os termos padrões dos programas de bug bounty".
- A DJI agiu certo? Deixe sua opinião nos comentários. Para ler mais detalhes sobre essa história, acesse aqui.
Fontes
Categorias