Al igual que muchas otras compañías, como Google, Microsoft o Facebook, el mayor fabricante de drones de la actualidad, DJI, activó un programa de recompensas para aquellas personas que descubrieran fallos que pudieran afectar la seguridad de consumidores, como la filtración de datos privados, información personal, fotos, videos o registros de vuelo.

Es una iniciativa interesante porque los drones presentan nuevos retos y fronteras entre la privacidad, la libertad de vuelo y regulaciones locales.

En ese sentido, un ingeniero de software llamado Kevin Finisterre descubrió un hueco de seguridad importante en la infraestructura de DJI que les permitió acceder a información privada de clientes. Resulta que la compañía hizo pública (sin querer, obviamente) la llave privada del certificado SSL y de la llave AES usada para firmar la autenticidad de las actualizaciones de firmware de sus drones.

Finisterre escribió a DJI y preguntó si sus servidores están dentro del alcance del programa de recompensa por identificación de fallos. La respuesta de la empresa fue .

Esto lo llevó a empezar a hacer investigación y averiguación. No solo descubrió que la llave privada antes mencionada estaba expuesta en Github hace cuatro años, sino que algunas cuentas de Amazon Web Services de la empresa estaban marcadas como públicas, por lo que cualquiera podía acceder a archivos adjuntos de emails recibidos, imágenes de drones averiados, facturas y alguna que otra foto de personas lastimadas por las hélices de los drones.

Finisterre volvió a insistir a la marca, quienes después de dos semanas ratificaron que el programa de recompensas por descubrir fallos de seguridad incluía sus servidores.

La respuesta de DJI fue lo suficientemente convincente para iniciar un largo proceso de documentación de los fallos de seguridad descubiertos. Además de todo lo anterior descubrió que había información con la que se podía hacer una correlación entre datos expuestos y personas, el fallo de seguridad, claramente, era muchísimo más grande de lo que inicialmente se creía, por lo que contactó inmediatamente a la compañía e hizo el aviso.

130 emails después, Finisterre había explicado y detallado los problemas de seguridad a los que DJI se enfrentaba. La compañía, en algún momento le ofreció un puesto como consultor de seguridad.

Pero todo cambió el momento en que envió el reporte final de fallos de seguridad. La respuesta, por parte de un ejecutivo de la empresa, explicaba que los servidores de la empresa "ya no están dentro del programa de recompensa". Aún así, poco tiempo después recibió un email avisándole que su reporte obtuvo el puesto más alto y recibiría 30.000 dólares.

Un mes más tarde recibió otro email, esta vez con un contrato, el cual le obligaba a no discutir detalles del trabajo que había hecho de forma pública, también le obligaba a decir que el no había hecho trabajo de seguridad para DJI en ningún momento.

Poco después el departamento legal de la empresa en China donde se le obligaba destruir toda información y datos descubiertos durante la investigación a riesgo de enfrentar cargos legales.

Finisterre renunció a los 30.000 dólares e hizo pública toda la investigación realizada, con capturas de pantalla, detalles técnicos y todo el lío legal al cual DJI quería meterlo. Para un experto en seguridad la recompensa económica es tan importante como la recompensa mediática detrás del descubrimiento de un fallo de seguridad, especialmente en empresas grandes.

Ars Technica se puso en contacto con el director de comunicaciones de DJI en América del Norte, quien se refirió a Kevin Finisterre como un hacker que quiso aprovecharse de la situación, que publicó información confidencial y que no siguió los pasos correctos para obtener la recompensa por descubrir el fallo.

Ahora, [email protected] se ha desactivado. Fue la la dirección de correo que DJI habilitó para reportar fallos de seguridad y entrar en el programa de recompensas.

Cualquier email enviado a esa dirección recibe una respuesta automática que dice:

Por favor tenga en cuenta que a partir del 16 de noviembre de 2017 no aceptamos reportes de fallos vía email. Si tiene preguntas puede contactarnos desde [email protected] y responderemos a la brevedad.

DJI sigue recibiendo reportes desde una web creada para temas de seguridad, pero tal vez sea muy tarde y ya han perdido toda la confianza de la comunidad.

Actualización 23 de noviembre, 17:12: DJI contactó con *Hipertextual* para hacernos llegar el siguiente comunicado oficial:

DJI está investigando el reporte de un acceso no autorizado a uno de los servidores de DJI que contiene información personal registrada por nuestros usuarios.
                
Como parte de su compromiso con la seguridad de los datos de los clientes, DJI contrató una firma de seguridad cibernética independiente para investigar este informe y el impacto de cualquier acceso no autorizado a esos datos. Hoy, un hacker que obtuvo parte de esta información, publicó en línea sus comunicaciones confidenciales con empleados de DJI donde menciona sus intentos de reclamar una "recompensa por errores" o “bug bounty” del Centro de Respuesta de Seguridad de DJI.
 
DJI implementó su Centro de Respuesta de Seguridad para alentar a los investigadores independientes de seguridad a reportar, de manera responsable, potenciales vulnerabilidades. DJI pide a los investigadores que sigan los términos estándares de programas de bonificación de errores, que están diseñados para proteger datos confidenciales y dar tiempo para el análisis y resolución de una vulnerabilidad antes de que se divulgue públicamente. El hacker en cuestión se negó a aceptar estos términos, a pesar de los continuos intentos de DJI de negociar con él, y amenazó a DJI si incumplían sus términos.
 
DJI toma muy en serio la seguridad de los datos y continuará mejorando sus productos gracias a los investigadores que descubren y divulgan de manera responsable los problemas que pueden afectar la seguridad de los datos de usuarios de DJI y de sus productos. DJI ha pagado miles de dólares a casi una docena de investigadores que han enviado informes al Centro de Investigación de Seguridad y han aceptado los términos del pago. A medida que el Centro de Investigación de Seguridad recibe nuevos informes, DJI acuerda a pagar regularmente nuevas recompensas a los investigadores por sus descubrimientos.