Разработчики дронов DJI предложили ИБ-специалисту $500 за обнаружение критических багов - «Новости»
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
1-12-2017, 12:37
Разработчики дронов DJI предложили ИБ-специалисту $500 за обнаружение критических багов - «Новости»
Рейтинг:
Категория: Новости

Китайская компания DJI, являющаяся одним из лидирующих производителей мультикоптеров для потребительского рынка, вновь подверглась критике со стороны ИБ-специалистов. На этот раз DJI предложила всего $500 эксперту, который обнаружил на серверах компании серьезные проблемы.


Шон Мелиа (Sean Melia) рассказал, что недавно ему удалось обнаружить на серверах DJI ряд брешей в безопасности, включая уязвимость перед нашумевшей проблемой Heartbleed, о которой стало известно еще в 2014 году, уязвимость перед SQL-инъекциями, а также RCE-баг, позволявший выполнить произвольный код с root-привилегиями.


Специалист рассказал журналистам The Register, что когда он сообщил о багах представителям DJI, те предложили ему $500 по программе вознаграждения за уязвимости. При этом разработчики DJI оперативно устранили все обнаруженные аналитиком проблемы в течение буквально нескольких дней. Мелиа утверждает, что отклонил это «щедрое» предложение и заявил представителям DJI, что лучше бы они вообще не имели bug bounty программы.





Дело в том, что исследователь уверен, согласно официальным «ставкам» bug bounty инициативы DJI, ему причиталось не менее $16 000. Ведь RCE-уязвимость и Heartbleed определенно попадают в категорию критических проблем, которые «могут привести к значительной утечке пользовательских данных», а такие баги компания оценивает в $5000 за штуку.


Представители DJI дали комментарий журналистам The Register и сообщили, что Мелиа вообще не имел права публично говорить о вышеперечисленных багах, так как он подписал соглашение о неразглашении информации. Хуже того, исследователь якобы утаил от представителей DJI некоторые подробности об уязвимостях и пару самих багов, но охотно поделился этой информацией с журналистами. Мелиа отрицает эти обвинения и заверяет, что сообщил компании обо всех своих находках и был при этом максимально «прозрачен».

Также представитель DJI подчеркнул, что «размер предложенного [специалисту] вознаграждения соответствовал уязвимостях, о которых тот сообщил».


Напомню, что недавно также стало известно о конфликте с DJI другого ИБ-специалиста, Кевина Финистерре (Kevin Finisterre). Исследователь рассказал, что обнаружил огромные проблемы в GitHub-репозитории компании, хотел принять участие в официальной программе bug bounty, но в итоге добился лишь того, что ему угрожают судебным преследованием в соответствии с федеральным законом «О компьютерном мошенничестве и злоупотреблении» (Computer Fraud and Abuse Act, CFAA).


Эта история тоже продолжает развиваться. Так, представители DJI представили официальный пресс-релиз, в котором объяснили, почему в GitHub-репозитории компании, на протяжении 2-4 лет, свободно хранился приватный ключ от wildcard-сертификата для *.dji.com. Напомню, что также Финистерре обнаружил в том же репозитории учетные данные от аккаунта AWS (неверно настроенный бакет раскрывал личные данные множества пользователей беспилотников DJI) и AES-ключи шифрования от прошивок DJI. Теперь компания сообщила, что двое сотрудников, допустивших все это, уже были уволены.


К сожалению, конфликт с Финистерре это не прекратило. Напротив, теперь представители DJI переключились с самого исследователя на компанию, в которой он работает, Department 13. Хотя Department 13 и DJI являются конкурентами на рынке обнаружения дронов, исследования Финистерре не имели никакого отношения к его работе, он занимался поиском багов в свободное время. Впрочем, это не оставило представителей DJI от нескольких публичных «шпилек» в адрес Department 13.


Источник новостиgoogle.com

Китайская компания DJI, являющаяся одним из лидирующих производителей мультикоптеров для потребительского рынка, вновь подверглась критике со стороны ИБ-специалистов. На этот раз DJI предложила всего $500 эксперту, который обнаружил на серверах компании серьезные проблемы. Шон Мелиа (Sean Melia) рассказал, что недавно ему удалось обнаружить на серверах DJI ряд брешей в безопасности, включая уязвимость перед нашумевшей проблемой Heartbleed, о которой стало известно еще в 2014 году, уязвимость перед SQL-инъекциями, а также RCE-баг, позволявший выполнить произвольный код с root-привилегиями. Специалист рассказал журналистам The Register, что когда он сообщил о багах представителям DJI, те предложили ему $500 по программе вознаграждения за уязвимости. При этом разработчики DJI оперативно устранили все обнаруженные аналитиком проблемы в течение буквально нескольких дней. Мелиа утверждает, что отклонил это «щедрое» предложение и заявил представителям DJI, что лучше бы они вообще не имели bug bounty программы. Most companies who “roll their own” bug bounty program don’t do it properly from my experiences. FB, MS, google, etc are obvious exceptions. Those companies have mature security teams. DJI on the other hand ? — Sean Melia (@seanmeals) November 27, 2017 Дело в том, что исследователь уверен, согласно официальным «ставкам» bug bounty инициативы DJI, ему причиталось не менее $16 000. Ведь RCE-уязвимость и Heartbleed определенно попадают в категорию критических проблем, которые «могут привести к значительной утечке пользовательских данных», а такие баги компания оценивает в $5000 за штуку. Представители DJI дали комментарий журналистам The Register и сообщили, что Мелиа вообще не имел права публично говорить о вышеперечисленных багах, так как он подписал соглашение о неразглашении информации. Хуже того, исследователь якобы утаил от представителей DJI некоторые подробности об уязвимостях и пару самих багов, но охотно поделился этой информацией с журналистами. Мелиа отрицает эти обвинения и заверяет, что сообщил компании обо всех своих находках и был при этом максимально «прозрачен». Также представитель DJI подчеркнул, что «размер предложенного _

Теги: CSS, Финистерре Мелиа DJI, $500 компания

Просмотров: 798
Комментариев: 0:   1-12-2017, 12:37
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: