2312884

DJI: Bug-Hunter erhält Drohungen statt Belohnung (Update)

20.11.2017 | 16:42 Uhr |

Anstatt ihm 30.000 US-Dollar Belohnung für das Auffinden einer Sicherheitslücke zu zahlen, droht Drohnenhersteller DJI einem Sicherheitsexperten. Update 16:42 Uhr: DJI bezieht Stellung.

Update 20.11.1017, 16:30 Uhr: DJI hat heute Nachmittag eine offizielle Stellungnahme veröffentlicht. Der Sicherheitsexperte Kevin Finisterre hatte durch von Hackern veröffentlichte Keys und Zertifikate Zugriff auf DJIs Cloud-Server erlangt. Diese unerlaubte Zugriffsmöglichkeit wollte er ursprünglich als schwerwiegende Sicherheitslücke beim DJI Bug-Bounty-Programm melden. Er arbeitete eigenen Angaben zufolge auch bereits mit DJI an einer entsprechenden Dokumentation, bis sich der Konzern laut Finisterre von der Zusammenarbeit distanzierte. Wie DJI im offiziellen Statement erklärt, untersuche das Unternehmen den unrechtmäßigen Zugriff Finisterres auf die DJI-Server.

DJI habe außerdem eine unabhängige Sicherheitsfirma engagiert, die den Zwischenfall untersuchen soll. DJI bezeichnet Finisterre als „Hacker“, der in den Besitz von DJI-Nutzerdaten gelangt sei und heute die vertrauliche Kommunikation zwischen DJI-Mitarbeitern und ihm im Internet veröffentlicht habe. In den E-Mails seien Finisterres „Versuche“, eine Bug Bounty vom DJI Security Response Center einzustreichen, dokumentiert worden. Dieses Zentrum ermutige Sicherheitsexperten, Bugs und Sicherheitslücken zu melden. Hierfür müssten sie einem vorgegebenen Sicherheitsprozedere folgen, um empfindliche Kundendaten zu schützen. Finisterre habe sich geweigert, diese Sicherheitsrichtlinien zu unterzeichnen. Während Finisterre behauptet, DJI habe ihm gedroht, wenn er nicht unterschreibt, behauptet nun DJI wiederum, der Sicherheitsexperte habe DJI seinerseits ebenfalls gedroht. Mehrere Verhandlungsversuche seien fehlgeschlagen.

DJI betont außerdem, wie wichtig die Arbeit der Sicherheitsexperten sei und wie viele Lücken und Bugs durch das Bug-Bounty-Programm bereits gemeldet und geschlossen worden seien. Doch die Vereinbarung, die Experten und Bug Hunter bei der Meldung eines Fehlers bei DJI unterzeichnen müssen, war für Finisterre ein „No-Go“. Wie der Sicherheitsforscher berichtet, hätte er mit seiner Unterschrift auf jeglichen Schutz durch DJI verzichtet. Die Vereinbarung hätte außerdem sein Recht bedroht, seine Arbeit auszuführen. Mehrere Anwälte hätten den Vertrag laut Finisterre ebenfalls als äußerst fragwürdig eingestuft. DJI selbst scheint die Vereinbarung jedoch als legitim einzustufen. Nur wer sie unterzeichnet, erhält für seinen gefundenen Bug im Rahmen des Bug- Bounty-Programm auch die versprochene Belohnung. Finisterre verzichtete auf 30.000 US-Dollar.

Originalmeldung vom 20.11.2017, 14:52 Uhr:

Im August 2017 startete der chinesische Drohnenhersteller DJI ein Bug-Bounty-Programm. Dabei werden Sicherheitsexperten mit bis zu 30.000 US-Dollar belohnt, wenn sie Sicherheitslücken und Bugs im DJI-System finden. Sicherheitsexperte Kevin Finisterre stieß nur wenige Tage nach dem Launch des Bug-Bounty-Programms auf eine solche Lücke. 

Im September wurden die Private Keys für die Wildcard-Zertifikate und für die Cloud-Accounts der Amazon Web Services von DJI von Hackern auf GitHub veröffentlicht. Mit Hilfe dieser Daten kam Finisterre im Rahmen seiner Nachforschungen an noch sehr viel empfindlichere DJI-Daten. Mit den Logins gelang es dem Sicherheitsexperten, auf hochgeladene Fotos von DJI-Drohnen-Nutzern zuzugreifen – darunter waren unter anderem Bilder von Ausweisen, Pässen und Führerscheinen. Das sensible Material war von den DJI-Kunden in ihren Cloud-Speicher geladen worden, in der Annahme, dass ihre Daten dort sicher seien. Neben Bildern von Ausweispapieren fand Finisterre auch Flugprotokolle von mutmaßlichen Militär- und Regierungsaccounts.

Der Sicherheitsexperte wollte den Bug schließlich mit Hilfe von DJI dokumentieren und forschte weiter. Da sich unter den sensiblen Daten auch Logs von Regierungsbehörden fanden, sah sich Finisterre plötzlich mit einer Anzeige unter dem Computer Fraud and Abuse Act (CFAA) konfrontiert. DJI weigerte sich, den Sicherheitsexperten zu schützen. Finisterre zog sich schließlich aus dem Bug-Bounty-Programm zurück und verzichtete auf seine Belohnung in Höhe von 30.000 US-Dollar. Er veröffentlichte seine Forschungsergebnisse nun kostenlos im Internet . DJI hat sich mittlerweile von Finisterre distanziert und bezeichnete den Sicherheitsexperten gegenüber Ars Technica als „Hacker“, der sich unerlaubten Zugriff auf DJI-Daten verschafft habe.  

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2312884