DJI по ошибке выложила на GitHub ключи от всей своей инфраструктуры. Они оставались в открытом доступе несколько лет

Компания DJI, которая на днях выпустила для Apple эксклюзивную версию Mavic Pro в белом цвете, ранее уже обвинялась в том, что ее дроны имеют проблемы с безопасностью – именно это стало причиной полного отказа армии США от продукции китайского производителя. Оказывается, то были цветочки. На этой неделе исследователь безопасности Кевин Финистер опубликовал 18-страничный документ, который выставляет DJI не в самом лучшем свете.Исследователь утверждает, что ранее DJI допустила непростительную с точки зрения безопасности оплошность – компания опубликовала на GitHub архив с закрытыми ключами для HTTPS-сертификатов *.dji.com, AES-ключами шифрования прошивок, а также паролями доступа к облачным окружениям в AWS и службе хранения Amazon S3. Более того, эти данные находились в открытом доступе от двух до четырех лет.Как сообщается, содержимое архива позволяло злоумышленникам взломать всю инфраструктуру крупнейшего производителя дронов. Они могли проводить самые разнообразные атаки с целью кражи конфиденциальной информации и получения доступа к компьютеру пользователя. В рамках собственных экспериментов исследователю удалось получить доступ к записям полетных данных и идентификационным номерам дронов.Сейчас ключи из архива отозваны, либо заменены на новые. Но самое интересное в этой истории то, что производитель пытался купить молчание исследователя. Говоря точнее, компания предложила исследователю денежное вознаграждения в рамках $30 тыс. в обмен на подписанное соглашение, одним из пунктов которого было неразглашение данной истории. Но исследователь решил отвергнуть предложение, предав все огласке.Источник: The Register

Также по теме: