Разработчики дронов DJI предложили ИБ-специалисту $500 за обнаружение критических багов

Китайская компания DJI, являющаяся одним из лидирующих производителей мультикоптеров для потребительского рынка, вновь подверглась критике со стороны ИБ-специалистов. На этот раз DJI предложила всего $500 эксперту, который обнаружил на серверах компании серьезные проблемы.

Шон Мелиа (Sean Melia) рассказал, что недавно ему удалось обнаружить на серверах DJI ряд брешей в безопасности, включая уязвимость перед нашумевшей проблемой Heartbleed, о которой стало известно еще в 2014 году, уязвимость перед SQL-инъекциями, а также RCE-баг, позволявший выполнить произвольный код с root-привилегиями.

Специалист рассказал журналистам The Register, что когда он сообщил о багах представителям DJI, те предложили ему $500 по программе вознаграждения за уязвимости. При этом разработчики DJI оперативно устранили все обнаруженные аналитиком проблемы в течение буквально нескольких дней. Мелиа утверждает, что отклонил это «щедрое» предложение и заявил представителям DJI, что лучше бы они вообще не имели bug bounty программы.

Most companies who “roll their own” bug bounty program don’t do it properly from my experiences. FB, MS, google, etc are obvious exceptions. Those companies have mature security teams. DJI on the other hand..

Источник: xakep.ru