DJI: Mann findet Sicherheitslücke und wird bedroht

Der chinesische Drohnenhersteller DJI startete vor kurzem ein Bug-Bounty-Programm, woraufhin sich der Sicherheitsexperte Kevin Finisterre auf die Suche nach Sicherheitslücken machte machte. Er wurde recht schnell fündig und deckte eine Schwachstelle auf, die es Angreifern erlaubte, hochsensible Kundendaten von den DJI-Servern abzugreifen. Darunter waren auch Flug-Logs von Konten, die Regierungen und Militär nahe stehen.

Finisterre kontaktierte DJI, woraufhin das Unternehmen seine Entdeckungen prüfte und ihm schließlich mitteilte, dass er die höchste Belohnung im Umfang von 30.000 US-Dollar erhalten würde. Dazu müsse er lediglich eine Vereinbarung unterzeichnen, die laut FInisterre jedoch höchst fragwürdig war. Demnach bot das entsprechende Papier dem Forscher “keinerlei Schutz”, wie er selbst schrieb und bedrohte sein Recht, "seine Arbeit auszuführen". Auch mehrere Anwälte wiesen ihn darauf hin.

Keine Einigung

Trotz Versuche, kam eine Einigung mit DJI nicht zustande. Stattdessen forderte ihn das Unternehmen auf, alle gefundenen Informationen zu zerstören. Es wurde ihm auch gedroht, in unter dem Computer Fraud and Abuse Act zu verfolgen. Aus diesem Grund entschied er sich, seine Erkenntnisse sowie eine entsprechende Erklärung ohne Belohnung zu veröffentlichen. Darin zu finden ist auch der E-Mail-Verkehr mit DJI.

In einer Stellungnahme gegenüber Ars Technica ging DJI nicht näher auf den Fall ein und bezeichnete Finisterre als einen “Hacker”, der unerlaubten Zugang zu Daten hatte.

Bug Bounty

Sogenannte Bug-Bounty-Programme, bei denen Unternehmen das Finden von sicherheitsrelevanten Fehlern in ihren Produkten belohnen, sind mittlerweile weit verbreitet. Das Auffinden der Lücken stellt für Experten so eine legale und lukrative Einnahmequelle dar und hilft gleichzeitig, Services sicherer zu gestalten, wenn die Schwachstellen gemeldet, anstatt ausgenutzt werden.