+7 (903) 738 - 28 - 85
телефон, whatsapp
Главная » 2018 » Март » 1 » Заявление компании DJI о практическом подходе к кибербезопасности и конфиденциальности.
20:51
Заявление компании DJI о практическом подходе к кибербезопасности и конфиденциальности.

1. SSL сертификат

В начале сентября 2017 года компания DJI была уведомлена о том, что её SSL сертификат для официального сайта был скомпрометирован. Сразу же после получения уведомления компания отозвала свой сертификат и заменила его на новый.

Основываясь на своём расследовании, компания заявила, что пользовательские данные не были скомпрометированы. При этом для подтверждения результатов собственного расследования DJI обратилась к независимой компании по кибер-криминалистике. Если будут получены доказательства взаимодействия посторонних лиц с клиентскими данными, компания DJI обещает сообщить об этом соответствующим клиентам.

 

2. Данные с серверов AWS (Amazon Web Services)

Компания DJI получила отчёт от независимого исследователя безопасности, в котором говорится о возможности неавторизованного доступа к репозиторию сервера AWS. Через день после получения отчёта проблема была устранена. После проведения внутренней проверки были выявлены разработчики, которые ответственны за появление уязвимости. Их немедленно уволили в связи с некомпетентностью и несоответствием их поведения политике компании.

Было сокращено количество персонала, который имеет доступ к изменению настроек серверов. Руководство компании DJI считает, что это поможет предотвратить появление таких ситуаций в будущем. Кроме того, сотрудники ответственные за работу с серверами AWS были отправлены на обучение для повышения своей квалификации.

Как и в случае с SSL сертификатом, компания DJI для независимого расследования привлекла компанию по кибер-криминалистике. Собственное расследование DJI показало, что с сервера однократно были скачаны определённые данные (не раскрывается какие), которые включают в себя личную информацию разработчиков. Однако, как заявили представители компании DJI, данные пользователей скачаны не были. Если независимое расследование покажет, что были затронуты данные пользователей, то потерпевшим лицам незамедлительно будет об этом сообщено.

 

3. Программа Bug Bounty

Компания DJI создала DJI Security Response Center (DSRC, Центр Реагирования на Угрозы Безопасности) для работы с независимыми исследователями в области безопасности.

О создании было объявлено в августе 2017 года. С того момента денежное вознаграждение от DSRC было выдано почти дюжине исследователей, которые смогли обнаружить потенциальные уязвимости в ПО компании DJI и выполнили условия программы.

 

4. Бюллетень от ICE

В августе 2017 года Лос-анджелесским офисом иммиграционного и таможенного контроля США (ICE, U.S. Immigration and Customs Enforcement) был выпущен бюллетень о компании DJI. В основе бюллетеня лежат ложные и вводящие в заблуждения (со слов представителей компании DJI) утверждения неустановленного источника.

Некоторые из утверждений источника показывают фундаментальное непонимание принципов работы технологий компании DJI и незнание рынка коптеров, а также опровергаются банальным быстрым поиском в сети. Если бы источник немного «погуглил» информацию, то ему стало бы известно, что:

- ни коптеры DJI, ни приложение DJI Go не выполняют распознавание лица при выключенной системе распознавания. При этом даже при включённой системе распознавания ни один продукт компании DJI не имеет возможности «распознать» лицо, чтобы идентифицировать конкретного человека. Новейшие продуты компании DJI имеют в своём ПО функцию Active Track, но эта функция отслеживает движения тела человека в целом и его лица в частности, чтобы наводить на него камеру и следовать за ним, выполнять точнее команды от него, а не идентифицировать его личность (при этом функцию может включить только сам пользователь).

- ценовая политика компании DJI не является причиной остановки производства компаний Parrot и Yuneec. Многие компании в отрасли коптеростроения сокращают свой штат, однако, есть компании, которые каждый год выпускают новые модели.

- компания DJI не продаёт свою продукцию в США дешевле, чем в Китае, и не работает в убыток. Информация по ценам на продукцию общедоступна. Например, до ноября 2017 года квадрокоптер DJI Spark продавался в США по цене 499 долларов США (около 29.940 рублей), а в Китае по цене 3.299 юаней (около 500 долларов США или около 30.000 рублей). Сравнение других продуктов показывает схожую картину.

 

Ряд утверждений источника касается управления данными пользователей и отношений с китайским правительством.

По этому поводу компания DJI сообщает, что стремится соблюдать законы и правила каждой страны, в которой она распространяет свою продукцию, чтобы упростить и облегчить её использование для клиентов. В Китае существуют специфические правила и политика в отношении использования коптеров, компания DJI соблюдает эти правила, включающие в себя обязательную регистрацию и наличие бесполётных зон. Так согласно китайскому законодательству компания передаёт IP адрес пользователя, положение по GPS и MMC ID (электронные документы) в случае, если коптер используется в Китае. Когда клиент использует коптер в Китае, компания предоставляет пользователю весь необходимый для соблюдения местных правил и политики функционал. Данный функционал отключен при использовании коптера вне Китая. Соответственно, данные и информация, полученные дроном, не передаются китайскому правительству.


Из источника в одной из правительственных организаций, следящих за безопасностью гос. объектов, нам стало известно о проведении проверки квадрокоптера DJI Phantom 4 Pro на несанкционированную передачу данных. Коптер был разобран до «винтика», и рассмотрен «под микроскопом», при этом ничего проблемного обнаружено не было. Естественно, методы и способы проведения проверки не были сообщены.

 

Дополнительную информацию по вопросам безопасности в компании DJI можно прочесть, перейдя по следующим ссылкам:

ответ DJI на бюллетень от ICE;

заявление о нарушении безопасности данных.

 

источник

Категория: Новости | Просмотров: 356 | Добавил: Kiele | Теги: новости | Рейтинг: 5.0/1
Всего комментариев: 0
avatar