Przejdź na

Latasz dronem DJI? Twoje konto było łatwo dostępne dla innych

Analitycy bezpieczeństwa z firmy Check Point wraz z DJI informują o lukach, które niedawno wykryto na oficjalnej witrynie, a głównie forum DJI, na którym udziela się wielu użytkowników latających dronami tej marki. Jak się okazuje, były to istotne niedopatrzenia w zakresie bezpieczeństwa, z powodu których przy okazji potencjalnego ataku można było uzyskać dostęp do wielu danych użytkowników. Ponadto zagrożona była także infrastruktura DJI.

Dane z forum DJI były przez pewien czas zagrożone (depositphotos)Dane z forum DJI były przez pewien czas zagrożone (depositphotos)
Oskar Ziomek
Oskar Ziomek

Problem pojawił się na etapie identyfikacji użytkownika w ramach forum DJI. Badacze Check Point zwrócili uwagę, iż platforma marki wykorzystuje token, a przez to mogła być celem atakujących. Analitycy informują, że z uwagi na niedopatrzenia podczas jego obsługiwania, możliwe było uzyskanie nieautoryzowanego dostępu do publikowanych zdjęć, filmów, dzienników lotów i innych danych synchronizowanych z serwerami DJI. Szczegóły odnośnie potencjalnego ataku zostały przedstawione w oficjalnym raporcie.

Uproszczony schemat działania potencjalnego ataku, źródło: materiały prasowe Check Point.
Uproszczony schemat działania potencjalnego ataku, źródło: materiały prasowe Check Point.

Dobra informacja jest taka, że dzięki szybkiej reakcji i zgłoszeniu problemu w ramach programu Bug Bounty, na tę chwilę nie ma dowodów, że luka została w jakiś sposób wykorzystana, a dzisiaj jest już naprawiona. Cieszymy się, że badacze Check Point wykazali się profesjonalizmem poprzez odpowiedzialne ujawnienie potencjalnej podatności na zagrożenia – mówi Mario Rebello, wiceprezes i Country Manager w Ameryce Północnej w DJI. Jak dodaje, to jest właśnie powód, dla którego DJI stawia program Bug Bounty na pierwszym miejscu.

Analitycy bezpieczeństwa z firmy Check Point zwracają natomiast uwagę, że opisywaną lukę można było wykorzystać tylko w określonych przypadkach, przez co w generalnym rozrachunku zaklasyfikowano ją do grupy niebezpieczeństw wysokiego ryzyka, ale małego prawdopodobieństwa. Badacze dodają także, że za skuteczne działanie należy pochwalić również pracowników DJI. Po zgłoszeniu niedopatrzeń, luka została szybko naprawiona.

Źródło artykułu: www.dobreprogramy.pl
Wybrane dla Ciebie
Potężne narzędzie. ChatGPT wygeneruje jeszcze lepsze grafiki
Potężne narzędzie. ChatGPT wygeneruje jeszcze lepsze grafiki
Wiadomości od "kuriera DPD" i fałszywa prośba o dopłatę
Wiadomości od "kuriera DPD" i fałszywa prośba o dopłatę
200 tys. plików w darknecie. Wyciek z Uniwersytetu Warszawskiego niepokoi
200 tys. plików w darknecie. Wyciek z Uniwersytetu Warszawskiego niepokoi
Fala fałszywych e-maili. "Potwierdzenie zwrotu podatku"
Fala fałszywych e-maili. "Potwierdzenie zwrotu podatku"
Uważaj na takie połączenia. Nie są przypadkowe
Uważaj na takie połączenia. Nie są przypadkowe
BMW sięga po AI. Wykorzystają je przy bateriach
BMW sięga po AI. Wykorzystają je przy bateriach
Microsoft zmienił zdanie? Tłumaczy, kiedy warto zastąpić Defendera
Microsoft zmienił zdanie? Tłumaczy, kiedy warto zastąpić Defendera
Walka z botami. Tinder i Zoom wprowadzają skan tęczówki
Walka z botami. Tinder i Zoom wprowadzają skan tęczówki
Rusza WhatsApp Plus. Płatna wersja z dodatkowymi opcjami
Rusza WhatsApp Plus. Płatna wersja z dodatkowymi opcjami
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
ChatGPT ma dużą awarię. Użytkownicy zgłaszają liczne problemy
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
CERT Polska ostrzega przed fałszywymi powiadomieniami KSeF
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
Problem z Blikiem i kartami Visa. Od rana usterka płatności (aktualizacja)
ZATRZYMAJ SIĘ NA CHWILĘ… TE ARTYKUŁY WARTO PRZECZYTAĆ 👀