Flight logs van ruim 80.000 DJI-drones op straat door datalek
In de VS is een onbeschermde database ontdekt met daarin meer dan 90 miljoen flight logs afkomstig van ruim 80.000 DJI-drones. Dat meldt securitymagazine Cybernews. De data zijn vergaard door 66 AeroScope detectiesystemen die met name in de VS staan opgesteld. In totaal bevat de dataset 54.5 GB aan informatie. Onduidelijk is wie de beheerder is van de database. DJI ontkent eigenaar te zijn van de verzamelde gegevens.
AeroScope
Tijdens iedere vlucht zenden drones van DJI gegevens uit die opgepikt kunnen worden door zogenaamde AeroScope-detectors in de omgeving, zoals de actuele locatie, de vlieghoogte, de positie van de piloot en het serienummer van de flight computer. Die informatie kan lokaal of op een server worden gelogd, zodat dronevluchten achteraf tot in detail gereconstrueerd kunnen worden.
AeroScope is in de afgelopen jaren zeer populair geworden bij handhavers en beveiligers van onder andere energiecentrales, festivalterreinen, havengebieden, detentiecentra en vliegvelden: zodra er een drone van DJI opstijgt binnen een straal van een paar kilometer blijft dat niet onopgemerkt. In Nederland werd op die manier een dronepiloot uit Hoofddorp betrapt op het regelmatig vliegen nabij Schiphol. In Oekraïne werd AeroScope gebruikt om DJI-drones van de vijand op te merken en de bijbehorende piloten te traceren, iets wat al snel tot een internationale rel over de rol van DJI leidde.
Datalek
Naar nu blijkt zijn de gegevens die verzameld worden door AeroScope-detectors niet in alle gevallen goed beveiligd. Dat blijkt uit de ontdekking van een onbeveiligde database op AWS, de clouddienst van Amazon. Maar liefst 90 miljoen flight logs afkomstig van 80.000 drones staan erin, verzameld door 66 AeroScopes. Het merendeel daarvan staat in de VS, maar er zitten ook logs bij van systemen in Duitsland, Turkije, Frankrijk en Qatar.
Aan de hand van de uitgelekte gegevens kunnen alle betreffende dronevluchten tot in detail worden gereconstrueerd. Er is echter geen sprake van informatie die herleid kan worden naar specifieke personen of organisaties. Ondanks meerdere pogingen om door middel van OSINT-technieken te achterhalen wie de eigenaar is van de database, kon geen beheerder worden vastgesteld.
DJI ontkent iets te maken te hebben met de betreffende database. Tegenover DroneDJ verklaart DJI-woordvoerder Adam Lisberg het volgende: “Zoals in het verhaal wordt opgemerkt, waren deze gegevens niet in het bezit van DJI en we hebben geen idee wie deze heeft gegenereerd.”
Voormalig hoofd Beleid & Juridische Zaken bij DJI Brendan Schulman stelt desgevraagd dat het aan de afnemer van het AeroScope-systeem is om te kiezen waar de data wordt opgeslagen. “Zolang ik daar werkte, was de serverconfiguratie de beslissing van de klant. Ik kan niet spreken met wat “de meeste” klanten hebben gekozen. Het oorspronkelijke beleidsontwerp hiervoor was om gegevens lokaal op te slaan, maar sommige klanten hebben mogelijk de voorkeur voor netwerkfunctionaliteit aan de achterkant.”
Remote ID
Alhoewel het uitlekken van tienduizenden flight logs een pijnlijke zaak lijkt, is het voor dronevliegers goed om te beseffen dat hun vliegactiviteiten in de toekomst sowieso openbaar worden uitgezonden. Onder de noemer Remote ID wordt het verplicht om actuele telemetrie en het exploitantnummer uit te zenden op een dusdanige manier dat deze data door iedereen in de omgeving kan worden uitgelezen. Er zijn zelfs al Flightradar-achtige apps waarmee je in de toekomst nabijvliegende drones kunt volgen.
Ook Lisberg benadrukt dat dronevliegers in de toekomst niet meer ‘anoniem’ kunnen vliegen. “Het is belangrijk op te merken dat de FAA van alle dronepiloten zal eisen dat ze precies dit soort informatie van hun drones uitzenden, aangezien het Remote ID-systeem het komende jaar van kracht wordt, in een formaat waartoe iedereen toegang heeft. Desalniettemin zijn we van plan om alle AeroScope-klanten te instrueren om ervoor te zorgen dat ze de juiste protocollen gebruiken om hun gegevens te beveiligen.”
Het uitzenden van Remote ID via commercieel vrije frequesntiue is al een ernstige inbreuk op privacy, het archiveren van gegevens, die ter herleiden zijn aan persoonsgegevens is allemaal een ernstige inbreuk op meerdere wettelijke normen.
Het is dan ook bizar dat RemoteID goedgekeurd is door EU en zelfs verplicht wordt.
DJI Aeroscope kan alle Wifi frequenties in 2.3-2.5 en 5.3-6GhZ spectrum tot op 50KM opvangen, archiveren en via RestApi ontsluiten, daarmee zijn niet alleen drones te volgen, maar iedereen met een telefoon op zak. Leuk (en in EU Verplicht) dat je die gegevens op lokale server kan opslaan, maar dan krijg je dit soort toestanden, op Github of AWS, er is namelijk 0 controlle meer op. En elke firmware push/update kan DJI Aeroscope, maakt het indirect een high risk / high potentiële databron voor hackers, overheden en vooral china.
Weet je nog dat die 4 Russen met dat wifi ontvanger bij de haagse rechtbank voor internationale opsporing, even netwerk via wifi kwamen kraken, om inlichtingen over MH14 te verzamelen. China kan dit, gegarandeerd via alle DJI Aeroscopen in de wereld.
DJI is voortgekomen uit een staatse financiering op de Hong Kong University of Science & Technology, en heeft enorme kapitaal injecties gehad om de totale drone markt over te nemen, tegen kosten waar geen enkele concurrentie mogelijk was. Het heeft prachtige tech opgeleverd. Maar zoals Departement 13 in 2010 al ontdekte is het gewoon een data aggregator direct gelinkt kan worden, en als main stakeholder gestuurd wordt door Chinese staatsbedrijven, met headmaps en alles, terwijl de data wordt al verrijkt en toegepast voor analyse zonder enige toestemming. In china hebben ze vrij spel. Daarom heeft de VS ook DJI geband uit kritisch infra. Omdat zij wel snappen wat BIG DATA en massa observatie kan oplevert.
DJI heeft bewijsbaar gelogen over deze mogelijkheden en houdt nog steeds zo’n strategie aan. Helaas snappen de heren in Den Haag niet van voor dat ze van achter leven.