Sicherheitsleck entdeckt: Drohnenhersteller drohte Forscher mit Klage

    21. November 2017, 15:46
    21 Postings

    Zuerst 30.000 Dollar Belohnung zugesagt – DJI spricht wiederum von Drohungen Seitens des Forschers

    Ganze 31 Seiten umfasste der Bericht des Sicherheitsforschers Kevin Finisterre, den er vor einigen Wochen an den großen Drohnenhersteller DJI übermittelt hat. Er beinhaltete eine detaillierte Aufarbeitung eines beachtlichen Sicherheitslecks. Denn DJI hatte nicht nur Fehler in öffentlich verfügbaren Quellcodes gefunden, sondern auch SSL-Keys, die ihm den Zugang zu internen Daten ermöglichten. Darunter Ausweise, Pässe, Führerscheine und Dienstreiseaufzeichnungen.

    Für diese Informationen erhoffte er sich eine Belohnung. Denn DJI hatte Ende August ein "Bug Bounty"-Programm gestartet. Wer bislang unbekannte Fehler und Sicherheitslecks dokumentiert, sollte Belohnungen in der Höhe von 100 bis 30.000 Dollar erhalten.

    Belohnung nur mit strengem Vertrag

    Und in der Tat wurde ihm der maximale Betrag von 30.000 Dollar für seinen Fund zugesagt. Geld, das er in den Erwerb eines neuen Autos stecken wollte. Einen Monat nach dem Versprechen herrschte Funkstille. Dann übermittelte DJI einen Vertrag, den er zuvor unterschreiben sollte, berichtet The Next Web.

    Dieser hatte es jedoch in sich. So verbot ihm dieser etwa, über seinen Fund zu sprechen oder gefundene Schwächen auszunützen – was es jedoch unmöglich machen würde, weitere Lecks nachzuweisen. Als er sich weigerte, den Vertrag zu unterschreiben, wurde er von DJI schließlich als "Hacker" bezeichnet und aufgrund des Zugriffs auf die Server der Firma mit einer Klage auf Basis des Computer Fraud and Abuse Act (CFAA) bedroht.

    Allerdings hatte DJI ihm noch vor Übermittlung des Reports zugesichert, dass im Rahmen des Bounty-Programms auch die Server untersucht werden dürfen. Finisterre hatte diesbezüglich explizit angefragt, da DJI keine Richtlinien veröffentlicht hatte.

    Verzicht auf Prämie

    Der Sicherheitsexperte hat mittlerweile beschlossen, das Verhalten des Unternehmens öffentlich zu machen und auf die 30.000 Dollar zu verzichten. Die Kommunikation dokumentiert er in einem 18-seitigen PDF-Dokument.

    DJI: Waren verhandlungsbereit

    Die Darstellung von Finisterre weist DJI in einer offiziellen Stellungnahme nun zurück. "DJi ersucht Forscher, gängige Bedingungen für Bug-Bounty-Programme zu akzeptieren, die dazu dienen, vertrauliche Daten zu schützen und uns Zeit für die Analyse und Behebung von Schwachstellen zu geben, bevor diese öffentlich gemacht werden", heißt es in dem Schreiben.

    Der "Hacker" habe sich jedoch trotz "wiederholter Versuche, eine Einigung zu erzielen" geweigert und DJI gedroht, wenn seine Bedingungen nicht erfüllt werden sollten. Man nehme Datensicherheit "sehr ernst" und bei Verbesserungen auch weiter auf Forscher bauen, die "Probleme auf verantwortungsvolle Weise entdecken und melden". Man habe bereits "tausende Dollar" an "fast ein Dutzend Forscher" im Rahmen des Belohnungsprogramms ausgezahlt. (gpi, 22.11.2017)

    Update, 22.11., 15:20: DJI hat mittlerweile Stellung bezogen, der Artikel wurde entsprechend erweitert. (red, 21.11.2017)

    • DJI soll die Belohnung in seinem Bug Bounty-Programm an unhaltbare Vertragsbedingungen koppeln, so die Kritik.
      foto: afp

      DJI soll die Belohnung in seinem Bug Bounty-Programm an unhaltbare Vertragsbedingungen koppeln, so die Kritik.

    Share if you care.