`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Приватные ключи сертификата HTTPS сайта DJI оставались в открытом доступе до четырех лет

0 
 

DJI скомпрометировала приватные ключи сертификата HTTPS для своего сайта — они находилищсь в открытом доступе на GitHub до четырех лет, сообщает The Register. Компания также сделала доступной в Интернете личную информацию клиентов — от журнала рейсов до копий удостоверений личности — из-за неправильно сконфигурированного AWS S3.

Секретные ключи SSL охватывают весь домен *.dji.com, что потенциально дало злоумышленникам информацию, необходимую для создания поддельных сайтов и перенаправлять жертв на них. Хакеры также могут использовать ключи для дешифровки и изменения перехваченного сетевого трафика *.dji.com.

Ключи были найдены в публичном репозитории GitHub, принадлежащем DJI, Кевином Финистеррером (Kevin Finisterre), исследователем, который специализируется на продуктах DJI. Компания после его обращения пометила поврежденный сертификат HTTPS как отмененный и приобрела новый.

Ранее в этом году американская армия полностью запретила использование продуктов DJI своим персоналом. Военные не дали никаких объяснений этому, кроме неуказанных «кибер-уязвимостей». После этого так же поступили австралийские военные.

Финистерре опубликовал 18-страничный отчет в PDF, в котором изложил свои исследования, а также разочарование по поводу нескольких месяцев работы с представителями американского DJI и попытках сообщить им о грубых ошибках безопасности.

Раскрыв свои данные в частном порядке DJI, он подал заявку на получение вознаграждения за найденные уязвимости. Хотя DJI и согласилась выплатить свою наибольшую премию в размере 30 тыс. долл., стороны категорически не сошлись с условиями соглашения о неразглашении. Это в конечном итоге привело к тому, что Финистерре опубликовал все подробности в открытом доступе.

Он также отмечает, что в тонко завуалированной угрозе, изготовитель дронов предупредил, что Финистерре, возможно, нарушил законы США о взломе компьютеров, исследуя системы DJI.

DJI признала нарушения безопасности и сказала, что наняла стороннюю исследовательскую фирму, чтобы она помогла оценить масштаб проблемы и управляла следующими шагами компании.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT