Achtergrond

DJI trekt boetekleed aan na publicatie groot veiligheidslek

Dronefabrikant DJI heeft vrijdag in een statement laten weten dat het bedrijf diverse maatregelen heeft genomen nadat een onafhankelijke beveiligingsexpert ernstige veiligheidslekken aan het licht bracht. Het was onder andere mogelijk om klantgegevens, flight logs en andere privacygevoelige informatie in te zien. Onduidelijk is nog of er actief misbruik is gemaakt van het lek.

Wachtwoord jarenlang openbaar

Volgens securityexpert Kevin Finisterre (@d0tslash op Twitter) was de beveiliging van alle webservers van DJI lange tijd niet op orde, doordat het SSL wachtwoord van het bedrijf jarenlang te zien was in programmacode die te vinden was op het openbare ontwikkelaarsplatform GitHub. Via deze veiligheidssleutel kon onder meer informatie worden opgevraagd die DJI had ondergebracht in de s3 clouddienst van Amazon. Daardoor was het onder andere mogelijk om scans van paspoorten van klanten in te zien. Ook waren er emails over garantiegevallen, vluchtgegevens en zelfs foto’s van snijwonden veroorzaakt door dronepropellers te vinden.

Finisterre besloot om DJI met zijn ontdekking te benaderen via het in augustus dit jaar geopende bug bounty programma, waarbij onderzoekers die veiligheidslekken kenbaar maken financieel beloond worden voor hun vondsten. Aanvankelijk beloofde DJI om een bedrag van maar liefst 30.000 dollar te zullen betalen voor Finisterre’s ontdekkingen, maar uiteindelijk besloot de veiligheidsonderzoeker na lang onderhandelen niet akkoord te gaan met de verdere geheimhoudingseisen die DJI stelde. Daarop besloot Finisterre zijn ontdekkingen en correspondentie met DJI zelf maar wereldkundig te maken, en liep daardoor de ‘bug bounty’ van 30.000 dollar mis.

Maatregelen

DJI heeft nu laten weten dat het betreffende SSL certificaat ongeldig is gemaakt, en dat er maatregelen genomen zijn die moeten voorkomen dat er informatie op de servers van Amazon ingezien kan worden door onbevoegden. Tegen de verantwoordelijke programmeurs zijn ‘disciplinaire maatregelen’ genomen. Het is echter de vraag of het lek volledig is gedicht, want volgens veiligheidsexpert Scott Helme kan het verlopen SSL certificaat in bepaalde gevallen nog altijd toegang geven tot de servers van DJI, door een fout in de manier waarop sommige browsers omgaan met verlopen certificaten. DJI zegt echter actief te monitoren of er nog gebruik gemaakt wordt via het oude certificaat.

DJI laat verder weten dat er inmiddels ‘een dozijn’ externe beveiligingsonderzoekers beloond zijn voor het melden van datalekken of andere kwetsbaarheden, en dat het ‘onjuist’ is dat Finisterre juridisch bedreigd zou zijn. Het bedrijf zegt informatieveiligheid hoog in het vaandel te hebben en samen met externe experts te blijven werken aan het verder beveiligen van haar producten. Ook zegt het bedrijf ‘geen informatie te delen’ met de Chinese overheid.

Ongelukkige timing

De ophef rond het recente veiligheidslek komt voor DJI op een uiterst ongelukkig moment. Afgelopen zomer maakte het Amerikaanse ministerie van Defensie bekend geen drones van DJI meer te zullen gebruiken, vanwege het mogelijk uitlekken van gevoelige informatie naar de servers van DJI. Daarop stelde DJI een ‘offline mode’ beschikbaar, waardoor drone-operaties uitgevoerd kunnen worden zonder dat er tijdens het uitvoeren van de vlucht contact is met internet. Ook lag het bedrijf onder vuur nadat bekend werd dat er illegale ‘hot patching’ code te vinden was in de apps van DJI.

Avatar foto

Wiebe de Jager

Wiebe de Jager (@wdejager) is oprichter van Dronewatch en auteur van de boeken Dronefotografie en Dronevideo's maken. Wiebe is A1/A2/A3 gecertificeerd dronepiloot en beschikt over een exploitatievergunning voor de Specific categorie.

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Meld je aan voor onze nieuwsbrief!

Vul hieronder je gegevens in en blijf op de hoogte.

Open nieuwsbrief aanmeldformulier