Der chinesische Drohnenhersteller DJI startete vor kurzem einhtml5-dom-document-internal-entity1-nbsp-end Bug-Bounty-Programm, woraufhin sich der Sicherheitsexperte Kevin Finisterre auf die Suche nach Sicherheitslücken machte machte. Er wurde recht schnell fündig und deckte eine Schwachstelle auf, die es Angreifern erlaubte, hochsensible Kundendaten von den DJI-Servern abzugreifen. Darunter waren auch Flug-Logs von Konten, die Regierungen und Militär nahe stehen.
Finisterre zunächst von DJI als Gewinner ausgerufen
Finisterre kontaktierte DJI, woraufhin das Unternehmen seine Entdeckungen prüfte und ihm schließlich mitteilte, dass er die höchste Belohnung im Umfang von 30.000 US-Dollar erhalten würde. Dazu müsse er lediglich eine Vereinbarung unterzeichnen, die laut FInisterre jedoch höchst fragwürdig war. Demnach bot das entsprechende Papier dem Forscher “keinerlei Schutz”, wie er selbst schrieb und bedrohte sein Recht, „seine Arbeit auszuführen“. Auch mehrere Anwälte wiesen ihn darauf hin.
DJI sieht in Finisterre einen Hacker
Trotz Versuchen kam eine Einigung mit DJI nicht zustande. Stattdessen forderte ihn das Unternehmen auf, alle gefundenen Informationen zu zerstören. Es wurde ihm auch gedroht, in unter dem Computer Fraud and Abuse Act zu verfolgen. Aus diesem Grund entschied er sich, seine Erkenntnisse sowie eine entsprechende Erklärung ohne Belohnung zu veröffentlichen. Darin zu finden ist auch der E-Mail-Verkehr mit DJI.
In einer Stellungnahme gegenüber Ars Technica ging DJI nicht näher auf den Fall ein und bezeichnete Finisterre als einen “Hacker”, der unerlaubten Zugang zu Daten hatte. In dem offiziellen Statement, das auch futurezone auf Anfrage zugeschickt wurde, äußert sich das Unternehmen folgendermaßen: „DJI verlangt von Forschern, Standardbedingungen des Bug Bounty-Programms zu folgen, die vertrauliche Daten schützen und genug Zeit für eine Analyse und Lösung der Anfälligkeit lassen sollen, bevor diese öffentlich gemacht werden. Der betroffene Hacker verweigerte es, diesen zuzustimmen, entgegen den wiederholten Verhandlungsversuchen von DJI, und drohte DJI für den Fall, dass seine Bedingungen nicht erfüllt würden.“
Externe Suche nach Sicherheitslücken lukrative Einnahmequelle
Sogenannte Bug-Bounty-Programme, bei denen Unternehmen das Finden von sicherheitsrelevanten Fehlern in ihren Produkten belohnen, sind mittlerweile weit verbreitet. Das Auffinden der Lücken stellt für Experten so eine legale und lukrative Einnahmequelle dar und hilft gleichzeitig, Services sicherer zu gestalten, wenn die Schwachstellen gemeldet, anstatt ausgenutzt werden.