Kabar Teknologi – Pembuat Drone Tuduh Seorang Peneliti Cyber-Security Meretas Server Mereka

Pembuat Drone DJI telah menuduh seorang peneliti keamanan cyber telah meretas servernya. Kevin Finisterre mengklaim bahwa dia mengakses data pelanggan rahasia setelah menemukan kunci pribadi yang diposkan di situs berbagi kode Github.

Dia mengatakan kepada perusahaan tersebut, yang menawarkan hadiah hingga $ 30.000 (£ 23.000) untuk menemukan celah kelemahan keamanan yang ditemukan di sistemnya. DJI mengatakan bahwa akses terhadap server mereka adalah tindakan yang ilegal.

“Data yang bisa dilihat oleh Finisterre termasuk log penerbangan, paspor, SIM, dan kartu identifikasi yang tidak terenkripsi,” katanya.

Meskipun awalnya menawarkan kepadanya uang tersebut, dalam sebuah pernyataan, DJI telah menuduh Finisterre menolak untuk menyetujui persyaratan program hadiah yang ditawarkan yang dirancang untuk melindungi data rahasia dan memberi waktu untuk analisis dan resolusi kerentanan sebelum dipublikasikan.

Ditambahkan: “DJI menangani keamanan data dengan sangat serius, dan akan terus meningkatkan produknya berkat peneliti yang secara bertanggung jawab menemukan dan mengungkapkan masalah yang dapat mempengaruhi keamanan data pengguna DJI dan produk DJI.”

Ia menambahkan bahwa ia akan terus membayar hadiah bug dengan imbalan laporan. Finisterre, seorang peneliti keamanan independen, mengatakan bahwa DJI mencoba membuatnya menandatangani sebuah perjanjian non-disclosure.

Dia juga menerbitkan email dari DJI yang memberitahukan kepadanya bahwa masalah keamanan dengan server disertakan dalam program hadiah bug.

Dia mengatakan bahwa itu hampir sebulan setelah dia mengirim laporannya sebelum persyaratan penuh dibagikan kepadanya, dan dia yakin mereka “menimbulkan konflik kepentingan langsung terhadap banyak hal termasuk kebebasan berbicara saya”.

Salah satu klausul menyatakan bahwa dia tidak dapat mengungkapkan secara terbuka penelitiannya tanpa persetujuan tertulis dari DJI, menurut email dari firma yang telah dia terbitkan dalam laporannya. Biasanya, periset keamanan akan berbagi temuan mereka dengan perusahaan, memberi perusahaan kerangka waktu untuk memperbaiki bug yang teridentifikasi, dan kemudian mempublikasikan pekerjaan mereka.

Skema mendapatkan hadiah dengan mencari celah keamanan ditawarkan oleh banyak perusahaan teknologi besar sebagai insentif bagi orang untuk berbagi kelemahan keamanan daripada memanfaatkannya.

Pakar keamanan cyber Prof Alan Woodward dari Universitas Surrey mengatakan bahwa tindakan DJI “keterlaluan”. Masyarakat memiliki hak untuk mengetahui kapan ada masalah keamanan.

Leave a Reply

Your email address will not be published. Required fields are marked *