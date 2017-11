Nahm an Belohnungsprogramm von DJI teil – zuerst 30.000 Dollar Belohnung zugesagt

Ganze 31 Seiten umfasste der Bericht des Sicherheitsforschers Kevin Finisterre, den er vor einigen Wochen an den großen Drohnenhersteller DJI übermittelt hat. Er beinhaltete eine detaillierte Aufarbeitung eines beachtlichen Sicherheitslecks. Denn DJI hatte nicht nur Fehler in öffentlich verfügbaren Quellcodes gefunden, sondern auch SSL-Keys, die ihm den Zugang zu internen Daten ermöglichten. Darunter Ausweise, Pässe, Führerscheine und Dienstreiseaufzeichnungen.

Für diese Informationen erhoffte er sich eine Belohnung. Denn DJI hatte Ende August ein "Bug Bounty"-Programm gestartet. Wer bislang unbekannte Fehler und Sicherheitslecks dokumentiert, sollte Belohnungen in der Höhe von 100 bis 30.000 Dollar erhalten.

Belohnung nur mit strengem Vertrag

Und in der Tat wurde ihm der maximale Betrag von 30.000 Dollar für seinen Fund zugesagt. Geld, das er in den Erwerb eines neuen Autos stecken wollte. Einen Monat nach dem Versprechen herrschte Funkstille. Dann übermittelte DJI einen Vertrag, den er zuvor unterschreiben sollte, berichtet The Next Web.

Dieser hatte es jedoch in sich. So verbot ihm dieser etwa, über seinen Fund zu sprechen oder gefundene Schwächen auszunützen – was es jedoch unmöglich machen würde, weitere Lecks nachzuweisen. Als er sich weigerte, den Vertrag zu unterschreiben, wurde er von DJI schließlich als "Hacker" bezeichnet und aufgrund des Zugriffs auf die Server der Firma mit einer Klage auf Basis des Computer Fraud and Abuse Act (CFAA) bedroht.

Allerdings hatte DJI ihm noch vor Übermittlung des Reports zugesichert, dass im Rahmen des Bounty-Programms auch die Server untersucht werden dürfen. Finisterre hatte diesbezüglich explizit angefragt, da DJI keine Richtlinien veröffentlicht hatte.

Verzicht auf Prämie

Der Sicherheitsexperte hat mittlerweile beschlossen, das Verhalten des Unternehmens öffentlich zu machen und auf die 30.000 Dollar zu verzichten. Die Kommunikation dokumentiert er in einem 18-seitigen PDF-Dokument. DJI hat zu seinen Vorwürfen bislang noch keine Stellung bezogen. (red, 21.11.2017)