Pesquisador descobre brecha de segurança da DJI e é ameaçado pela empresa

Por Redação | 22 de Novembro de 2017 às 08h45

Uma prática comum no universo da tecnologia é a de empresas recompensarem pessoas que descobrem vulnerabilidades em seus produtos e sistemas, aqueles detalhes que passaram batido por suas equipes de desenvolvimento, mas que representam algum tipo de ameaça ao usuário final. Mas não foi bem o que aconteceu com este pesquisador, que descobriu uma brecha no sistema virtual de segurança da fabricante de drones DJI, mas recebeu uma resposta em tom de ameaça por parte da empresa.

O mais estranho dessa história é que, seguindo os passos de companhias como Google, Microsoft, Facebook e Mozilla, a DJI anunciou seu próprio programa de recompensas para quem detectasse falhas em seus produtos, o que aconteceu no mês de agosto deste ano. Mas Kevin Finisterre, pesquisador de segurança, decidiu publicar seu relato na web contando tudo sobre a receptividade da DJI quanto a sua descoberta.

Finisterre revelou que a DJI ameaçou processá-lo judicialmente depois que ele relatou uma experiência negativa de um dos drones da marca, bem como de seu sistema de segurança. Junto a um grupo de hackers, o pesquisador descobriu uma falha nesse sistema, que permitia a obtenção de certificados que deveriam ser privados. Possuindo esses certificados, os hackers conseguiram acessar informações particulares de consumidores, que estavam armazenadas nos servidores da DJI.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

A companhia recebeu o relato de Finisterre, e chegou a oferecer a ele a recompensa de US$ 30 mil, mas foi aí que a coisa complicou. Ele relatou que a DJI enviou um contrato que o impedia de publicar sua descoberta na internet, determinando que o pesquisador não poderia sequer contar a ninguém que ele teria trabalhado nesse projeto envolvendo o nome da DJI. Ou seja: Finisterre não poderia usar sua pesquisa e descobertas como portfólio de suas habilidades, tendo que se contentar com o dinheiro oferecido.

Não aceitando os termos do tal contrato, o pesquisador começou a discutir o assunto com a DJI, e foi quando a empresa decidiu envolver advogados na história, ameaçando processá-lo. Finisterre decidiu, então, declinar o pagamento da recompensa, cancelar o pedido de um carro da Tesla que havia feito contando com esse dinheiro, e publicar seu relato na internet para todo mundo ficar sabendo do ocorrido.

Depois dessa briga toda, a DJI decidiu atualizar sua página onde estão as informações quanto a seu programa de recompensas para quem descobrir vulnerabilidades em seus produtos, deixando seus termos de confidencialidade mais claros e, quem sabe, evitando contratempos futuros como o caso que acabamos de relatar.

Contrapartida

Em nota oficial enviada ao Canaltech, a DJI disse ter contratado uma empresa independente para investigar o acesso não autorizado em um dos seus servidores, bem como seus impactos. Além disso, a fabricante disse que "leva a segurança na proteção de dados extremamente a sério e continuará a melhorar os seus produtos graças aos investigadores que descobrem e divulgam de forma responsável os problemas que podem afetar a segurança dos dados da DJI e dos seus produtos".

[Esta nota foi atualizada para incluir a declaração oficial da DJI sobre o assunto]

Fonte: TechTimes

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.