Num relatório apresentado de acordo com o Programa Bug Bounty da DJI, a Check Point Research descreveu o processo em que um atacante poderia obter acesso à conta de um utilizador através de uma vulnerabilidade alojada no processo de identificação do utilizador no Fórum da DJI.
Os investigadores da Check Point perceberam que a plataforma da DJI utilizava um token para identificar os utilizadores registados nas diversas acções da experiência do cliente, tornando-o num alvo fácil para o hackers que quisessem encontrar formas de aceder às suas contas.
Os clientes da DJI que sincronizam o histórico dos voos, incluindo fotografias e vídeos nos servidores cloud da DJI poderiam ter ficado vulneráveis. Assim como os clientes da DJI que utilizaram o software FlightHub, o qual inclui áudio e mapeamento ao vivo.
Desde então, a vulnerabilidade já foi corrigida e não existem evidências que alguma vez se aproveitaram da mesma. É aconselhado que os clientes da DJI utilizem sempre as versões mais recentes das suas aplicações.
“Congratulamos o conhecimento dos investigadores da Check Point demonstrado através da divulgação responsável desta vulnerabilidade potencialmente crítica,” comentou Mario Rebello, Vice President e Country Manager, North America da DJI. “É por este motivo que a DJI estabeleceu o Programa Bug Bounty. Todas as empresas de tecnologia entendem que reforçar a cibersegurança é um processo constante e sem fim. Proteger a integridade das informações dos clientes é uma das principais prioridades da DJI.”
Via Check Point Software Technologies, DJI.
