DJI trekt boetekleed aan na publicatie groot veiligheidslek
Dronefabrikant DJI heeft vrijdag in een statement laten weten dat het bedrijf diverse maatregelen heeft genomen nadat een onafhankelijke beveiligingsexpert ernstige veiligheidslekken aan het licht bracht. Het was onder andere mogelijk om klantgegevens, flight logs en andere privacygevoelige informatie in te zien. Onduidelijk is nog of er actief misbruik is gemaakt van het lek.
Wachtwoord jarenlang openbaar
Volgens securityexpert Kevin Finisterre (@d0tslash op Twitter) was de beveiliging van alle webservers van DJI lange tijd niet op orde, doordat het SSL wachtwoord van het bedrijf jarenlang te zien was in programmacode die te vinden was op het openbare ontwikkelaarsplatform GitHub. Via deze veiligheidssleutel kon onder meer informatie worden opgevraagd die DJI had ondergebracht in de s3 clouddienst van Amazon. Daardoor was het onder andere mogelijk om scans van paspoorten van klanten in te zien. Ook waren er emails over garantiegevallen, vluchtgegevens en zelfs foto’s van snijwonden veroorzaakt door dronepropellers te vinden.
Finisterre besloot om DJI met zijn ontdekking te benaderen via het in augustus dit jaar geopende bug bounty programma, waarbij onderzoekers die veiligheidslekken kenbaar maken financieel beloond worden voor hun vondsten. Aanvankelijk beloofde DJI om een bedrag van maar liefst 30.000 dollar te zullen betalen voor Finisterre’s ontdekkingen, maar uiteindelijk besloot de veiligheidsonderzoeker na lang onderhandelen niet akkoord te gaan met de verdere geheimhoudingseisen die DJI stelde. Daarop besloot Finisterre zijn ontdekkingen en correspondentie met DJI zelf maar wereldkundig te maken, en liep daardoor de ‘bug bounty’ van 30.000 dollar mis.
Maatregelen
DJI heeft nu laten weten dat het betreffende SSL certificaat ongeldig is gemaakt, en dat er maatregelen genomen zijn die moeten voorkomen dat er informatie op de servers van Amazon ingezien kan worden door onbevoegden. Tegen de verantwoordelijke programmeurs zijn ‘disciplinaire maatregelen’ genomen. Het is echter de vraag of het lek volledig is gedicht, want volgens veiligheidsexpert Scott Helme kan het verlopen SSL certificaat in bepaalde gevallen nog altijd toegang geven tot de servers van DJI, door een fout in de manier waarop sommige browsers omgaan met verlopen certificaten. DJI zegt echter actief te monitoren of er nog gebruik gemaakt wordt via het oude certificaat.
DJI laat verder weten dat er inmiddels ‘een dozijn’ externe beveiligingsonderzoekers beloond zijn voor het melden van datalekken of andere kwetsbaarheden, en dat het ‘onjuist’ is dat Finisterre juridisch bedreigd zou zijn. Het bedrijf zegt informatieveiligheid hoog in het vaandel te hebben en samen met externe experts te blijven werken aan het verder beveiligen van haar producten. Ook zegt het bedrijf ‘geen informatie te delen’ met de Chinese overheid.
Ongelukkige timing
De ophef rond het recente veiligheidslek komt voor DJI op een uiterst ongelukkig moment. Afgelopen zomer maakte het Amerikaanse ministerie van Defensie bekend geen drones van DJI meer te zullen gebruiken, vanwege het mogelijk uitlekken van gevoelige informatie naar de servers van DJI. Daarop stelde DJI een ‘offline mode’ beschikbaar, waardoor drone-operaties uitgevoerd kunnen worden zonder dat er tijdens het uitvoeren van de vlucht contact is met internet. Ook lag het bedrijf onder vuur nadat bekend werd dat er illegale ‘hot patching’ code te vinden was in de apps van DJI.