Latasz dronem DJI? Twoje konto było łatwo dostępne dla innych

Analitycy bezpieczeństwa z firmy Check Point wraz z DJI informują o lukach, które niedawno wykryto na oficjalnej witrynie, a głównie forum DJI, na którym udziela się wielu użytkowników latających dronami tej marki. Jak się okazuje, były to istotne niedopatrzenia w zakresie bezpieczeństwa, z powodu których przy okazji potencjalnego ataku można było uzyskać dostęp do wielu danych użytkowników. Ponadto zagrożona była także infrastruktura DJI.

Problem pojawił się na etapie identyfikacji użytkownika w ramach forum DJI. Badacze Check Point zwrócili uwagę, iż platforma marki wykorzystuje token, a przez to mogła być celem atakujących. Analitycy informują, że z uwagi na niedopatrzenia podczas jego obsługiwania, możliwe było uzyskanie nieautoryzowanego dostępu do publikowanych zdjęć, filmów, dzienników lotów i innych danych synchronizowanych z serwerami DJI. Szczegóły odnośnie potencjalnego ataku zostały przedstawione w oficjalnym raporcie.

Dobra informacja jest taka, że dzięki szybkiej reakcji i zgłoszeniu problemu w ramach programu Bug Bounty, na tę chwilę nie ma dowodów, że luka została w jakiś sposób wykorzystana, a dzisiaj jest już naprawiona. Cieszymy się, że badacze Check Point wykazali się profesjonalizmem poprzez odpowiedzialne ujawnienie potencjalnej podatności na zagrożenia – mówi Mario Rebello, wiceprezes i Country Manager w Ameryce Północnej w DJI. Jak dodaje, to jest właśnie powód, dla którego DJI stawia program Bug Bounty na pierwszym miejscu.

Analitycy bezpieczeństwa z firmy Check Point zwracają natomiast uwagę, że opisywaną lukę można było wykorzystać tylko w określonych przypadkach, przez co w generalnym rozrachunku zaklasyfikowano ją do grupy niebezpieczeństw wysokiego ryzyka, ale małego prawdopodobieństwa. Badacze dodają także, że za skuteczne działanie należy pochwalić również pracowników DJI. Po zgłoszeniu niedopatrzeń, luka została szybko naprawiona.