Lag & Upphovsrätt

Hemlig information exponerad hos drönartillverkaren DJI

Hemlig användarinformation på drönarföretaget DJI:s servrar låg åtkomlig för allmänheten. Den säkerhetskonsult som hittade läckan hotas med att dras inför rätta för sitt fynd.

Det kinesiskta drönarföretaget DJI har tidigare anklagats för att ha problem med sin säkerhet. Vi har tidigare skrivit om att användarinformation har gjorts tillgänglig för kinesiska myndigheter.I slutet av sommaren beslutade det amerikanska försvaret att DJI:s drönare med omedelbar verkan skulle sluta användas på grund av brister i cybersäkerheten. Efter den händelsen startade DJI ett program där personer som hittade buggar och brister i deras system skulle kunna få en belöning om de rapporterade in dessa till DJI, ett så kallat bug bounty-program.

Kevin Finisterre, en researcher inom cybersäkerhet, tittade på koden som fanns tillgänglig på DJI:s servrar och kunde där hitta lösenord för att komma åt information om DJI:s användare och deras användarprofiler. Där kunde han komma åt flygdata, bilder, körkort och andra typer av identifikation. Detta hos personer som i vissa fall arbetade högt uppsatt i olika myndigheter.

Skulle förstöra alla sina fynd

Finisterre kontaktade DJI med sina fynd och kontrollerade så att den information han hittat täcktes av deras bug bounty-program. Han fick då informationen att det skulle den göra. Han ville också få en försäkran om att han inte skulle anklagas för cyberbrott när han lämnade sin fullständiga rapport. Han fick då ett kontrakt skickat till sig som han skulle skriva på för att ta del av belöningen. Finisterre bad flera jurister titta på kontraktet och alla rekommenderade honom att inte skriva på då kontraktet var utformat så att Finisterre inte skulle få någon säkerhet. Då Finisterre inte ville skriva på kontraktet krävde DJI att han skulle förstöra alla sina fynd, om inte så skulle han bli anmäld för cyberbrott.

Istället för att gå med på de kraven bestämde sig Finisterre för att skriva ner sin rapport i en pdf som han gjorde tillgänglig på nätet.