יצרנית רחפנים נגד חוקר שמצא פגם אבטחה בשרתים שלה

הכל החל כשחברת הטכנולוגיה הסינית DJI, המתמחה בייצור רחפנים קלים להפעלה, השיקה תכנית Bug Bounty – שבמסגרתה זוכים אלו המוצאים באגים ופרצות אבטחה במוצריה בכסף מזומן.

חוקר האבטחה קווין פיניסטר גילה לאחרונה פגם שחשף לציבור נתונים של לקוחות פרטיים של חברת הרחפנים הסינית. אלא שלאחר שדיווח על הבאג לתכנית הבאגים של DJI, קיבל פיניסטר התנגדות ואיום משפטי ולכן במקום לאסוף את התגמול שלו, שהיה אמור לעמוד על 30 אלף דולר, הוא פנה לציבור עם הממצאים שלו.

דטה חשופה שכוללת יומני טיסות מתחומי הממשל והצבא

Ars Technica, שדיווח על התקרית, תיאר כי מפתחי DJI השאירו מפתחות פרטיים לתחומי האינטרנט של החברה ולחשבונות אחסון הענן בתוך קוד המקור שהתארח ב-GitHub. פיניסטר גילה באמצעות המפתחות שהוא יכול לגשת לנתונים פרטיים שהועלו על ידי לקוחות DJI – לא רק יומני טיסה ותצלומי אוויר, אלא גם תעודות זהות ממשלתיות, רישיונות נהיגה ודרכונים.

יתר על כן, כמה מיומני הטיסה נראו ככאלו שנשלחו מתחומי הממשל והצבא. יצוין כי צבא ארה"ב סיים את השימוש שלו ברחפנים של DJI מוקדם יותר השנה בשל "פגיעויות סייבר".

לאחר שדיווח על הפגיעות שגילה ל-DJI, הודיע פיניסטר בתחילה כי הדו"ח שלו קיבל את הפרס הגבוה בתכנית, שעמד על 30,000 דולר. אלא שלאחר מכן החלו הדברים להסתבך.

החברה ביקשה מפיניסטר שלא לחשוף את ממצאיו והוא פתח בדיון ארוך עם נציג מטעמה, אשר, לטענתו, גם אישר את קיומם של נתונים חשופים וגם הראה חוסר בולט בידע בתחום אבטחת הסייבר. פיניסטר סיפר כי נאלץ לחנך את החברה בנוגע למושגי אבטחה בסיסיים ופרקטיקות באגים, ותיאר כי מעל 130 הודעות דוא"ל הוחלפו הלוך וחזור בנוגע לנקודה אחת, למשל. הוא אף אמר שבשלב מסוים, מספר ימים לאחר שההתכתבות החלה, DJI אפילו הציעה להעסיק אותו ישירות כיועץ לתחום האבטחה.

"למה הפניתי עורף ל-30,000 דולר בתכנית bounty של DJI"

אבל כאשר המשיך את ההתדיינויות עם DJI, עד מהרה גילה החוקר כי החברה טוענת השרתים שלה לא היו חלק מתכנית ה-Bug Bounty, ובתואנה זו סירבה לספק לו הגנה מפני תביעה משפטית עתידית. יתר על כן, DJI עצמה שלחה אליו איום תחת CFAA (ר"ת Computer Fraud and Abuse Act) – חקיקה בתחום הבאגים שמופנית כנגד האקרים – והאשימה את פיניסטר ב"גישה בלתי מורשית והעברת מידע".

לבסוף, במקום לאסוף את הפרס שלו, לשתוק, ולהסתכן בתביעה משפטית עתידית, החליט פיניסטר לאסוף את כל הממצאים שלו לכדי מסמך PDF בן 18 עמודים שהוא פשוט פרסם תחת הכותרת "למה הפניתי עורף ל-30,000 דולר בתכנית bounty של DJI".

וכך, למרות שבתחילה הציעה לו את הכסף, בהצהרה מצידה האשימה DJI את פיניסטר על שהוא מסרב להסכים לתנאים של התכנית שלה "אשר נועדו להגן על נתונים חסויים ולאפשר זמן ניתוח ופתרון של פגיעות לפני שהן נחשפות בציבור". בהצהרה גם נכתב כי "DJI לוקחת את אבטחת הדטה ברצינות רבה, ותמשיך לשפר את מוצריה הודות לחוקרים אשר מגלים וחושפים באופן אחראי בעיות שעלולות להשפיע על האבטחה של נתוני משתמשי DJI ומוצרים DJI". החברה הוסיפה וציינה כי היא תמשיך לשלם תגמולי באגים תמורת דיווחים.

לאחר שפיניסטר פרסם את הממצאים שלו, DJI גם השיקה אתר רשמי בעבור תכנית הבאגים שלה ובה הכריזה על התנאים וההגבלות שלה באופן ברור, בעבור כל מי שרוצה להשתתף. רק בעתיד נגלה האם החברה הצליחה לתקן את היחסים עם קהילת החוקרים ולבנות תכנית שפעולה לא רק לטובתה אלא בעבור שני הצדדים.