DJI ameaça processar investigador que descobriu bugs

Em Agosto, a DJI lançou um programa de caça aos bugs, que recompensava aqueles que encontrassem alguma falha importante.

No entanto, a descoberta de um grande número de bugs poderá valer a um investigador um processo legal.

De forma a melhorar os seus produtos e sistemas, muitas marcas abrem programas de caça aos bugs, onde pagam altos valores a quem descobrir erros nas suas plataformas.

A DJI decidiu, em agosto, seguir a mesm a estratégia e lançou um programa de caça aos bugs que garantia valores até 30.000 dólares, dependendo da gravidade do bug. No entanto, pelas palavras de um investigador de segurança, este processo poderá não ser assim tão fácil.

Antes de iniciar a procura por erros, Kevin Finisterre, investigador de segurança, questionou a DJI se os seus servidores se encontravam também dentro deste programa. Embora a resposta tenha demorado, a marca chinesa confirmou que estes problemas também seriam cobertos.

Após a confirmação, Kevin e a sua equipa aventuraram-se na descoberta de problemas, que resultou num relatório de 31 páginas que detalhavam os vários problemas encontrados. Neste relatório, estava também incluída a chave privada do certificado SSL da DJI, que foi acidentalmente publicada no GitHub pela própria empresa chinesa, e que permitia aceder a um grande conjunto de informações armazenadas nos servidores sobre os clientes.

Após entregar o relatório, a DJI referiu que lhe seria atribuído o prémio máximo de 30 mil dólares. No entanto, nas semanas seguintes, a entrega deste dinheiro não foi assim tão fácil, depois de terem acontecido várias negociações que atrasaram o processo. Nestas negociações, estariam incluídas cláusulas sobre o que Kevin e a sua equipa podiam ou não falar, de forma a garantir o seu silêncio sobre os problemas. Além disso, recebeu ainda uma carta referindo que este não poderia aceder aos servidores da DJI e que a empresa tinha direito a levantar uma ação legal ao abrigo da lei de abuso e fraude computacional. Após estes acontecimentos, Kevin e a sua equipa decidiram sair do acordo.

A DJI já se pronunciou oficialmente, referindo que pede aos investigadores que sigam os termos standard do programa, que são desenhados para proteger os dados confidenciais e para permitir a análise e resolução da vulnerabilidade antes de ser conhecida publicamente. Sobre este caso específico, a DJI afirmou que Kevin recusou aceitar esses termos, embora a DJI tenha feito várias tentativas para chegar a acordo com o mesmo.

Embora Kevin não tenha aceite as condições impostas pela DJI, a verdade é que este descobriu falhas graves nos servidores que, segundo a marca chinesa, também estariam abrangidas por este programa, tendo posteriormente sido ameaçado com um processo legal devido a esta ação.

A DJI já lançou uma página destinada a dar informação mais detalhada sobre este programa, algo que não existia até ao momento.