Ключи SSL-сертификата производителя дронов DJI обнаружены в открытом доступе (Обновлено)

Ключи цифрового сертификата для сайта китайского производителя дронов DJI в течение четырех лет находились в открытом доступе. Имея в своем распоряжении ключи SSL-сертификата dji.com, злоумышленники могут подделать сайт компании, подписать его с помощью легитимного сертификата и незаметно перенаправлять пользователей на вредоносные загрузки путем стандартной атаки «человек посередине». Злоумышленники также могут использовать ключи для расшифровки трафика, передаваемого с/на сервер.

Закрытый ключ SSL-сертификата был обнаружен исследователем Кевином Финистерре (Kevin Finisterre) в открытом репозитории DJI на GitHub. Кроме того, там же находились учетные данные для авторизации в AWS и ключи шифрования AES прошивки. В открытом хранилище AWS S3 Финистерре обнаружил в незашифрованном виде такую конфиденциальную персональную информацию, как логи полетов, данные паспортов, водительских прав и идентификационных карт. Правда, более новые логи и персональные данные были зашифрованы с использованием статического пароля OpenSSL. DJI отозвала проблемный сертификат и в сентябре нынешнего года выпустила новый.

Напомним, в августе 2017 года Армия США из соображений безопасности отказалась от использования дронов производства DJI. В 2016 году DJI согласилась предоставлять полученные со своих дронов данные властям КНР.

Официальный комментарий от DJI

В настоящее время DJI ведет расследование неавторизованного доступа к одному из своих серверов, содержащих персональную информацию клиентов компании.

В рамках своих обязательств по защите данных клиентов DJI сотрудничает с независимой ИБ-компанией в расследовании возможных последствий неавторизованного доступа к данным. Хакер, получивший доступ к конфиденциальным данным, опубликовал свою переписку с сотрудниками DJI с требованием получить от Центра реагирования на инциденты безопасности DJI вознаграждение за найденные уязвимости.

DJI учредила Центр реагирования на инциденты безопасности с целью вдохновить независимых исследователей на ответственное раскрытие уязвимостей. DJI просит исследователей следовать стандартным требованиям программы выплаты вознаграждений, призванным защитить конфиденциальные данные и обеспечить время для анализа уязвимостей и их устранения до публичного раскрытия. Вышеупомянутый хакер отказался выполнять требования, несмотря на продолжающиеся попытки DJI вести переговоры с ним, и угрожал отомстить DJI, если его условия не будут выполнены.

DJI серьезно относится к безопасности данных и продолжает совершенствовать свои продукты благодаря исследователям, ответственно раскрывающим проблемы безопасности, которые могут затронуть ее продукты и клиентов. DJI выплатила тысячи долларов порядка десяти исследователям, приславшим Центру реагирования на инциденты безопасности свои отчеты и согласившимся с условиями выплаты вознаграждений. Как правило, получив новый отчет, Центр реагирования на инциденты безопасности соглашается выплатить исследователям вознаграждение за их находки.