Znano podjetje opeharilo dobronamerneža. Bo plačalo z ugledom?

Foto: Thinkstock

DJI je v avgustu začel podeljevanje v informacijski tehnologiji tako imenovanih bug bountyjev, denarnih nagrad, do katerih so upravičeni tisti, ki v delovanju njihovih naprav - brezpilotnih letalnikov ali dronov - odkrijejo napake (hrošče oziroma buge) ali varnostne luknje. 

Nagrajevanje tretjih oseb, ki v programski opremi naletijo na napako in jo javijo pristojnim, je v zadnjih letih stalnica poslovanja velikih tehnoloških podjetij. Bug bountyje med drugim izplačujejo Google, Facebook, Microsoft.

Bolj kritična kot je napaka ali varnostna luknja, večja je nagrada. Prav Microsoft je izplačal najvišji znesek do zdaj: leta 2012 je študenta Vasilisa Pappasa nagradil s 170 tisoč evri (vir). 

DJI, ki je sicer kitajsko podjetje, a največ svojih dronov proda v ZDA, je program nagrajevanja najdb morebitnih napak začel kmalu po odločitvi ameriške vojske, da dronov znamke DJI ne bo več uporabljala za kakršen koli namen (vir). Kot glavni razlog za to so v vojski ZDA navedli skrbi zaradi morebitnih varnostnih tveganj pri uporabi civilnih dronov za vojaške operacije. 

Droni znamke DJI spadajo med najbolj pogosto prodajane in uporabljane na svetu. Še zdaleč niso poceni, so pa dovolj kakovostni, da jih ne uporabljajo le rekreativni "letalci", temveč tudi mediji, različne vladne in nevladne organizacije ter celo vojska. Foto: Reuters

Videl je marsikaj, tudi tisto, česar ne bi smel

Eden od prvih, ki je prek programa bug bounty stopil v stik s podjetjem DJI, je bil računalniški strokovnjak Kevin Finisterre. Odkril je varnostno luknjo, ki sicer ni bila neposredno povezana z delovanjem brezpilotnega letalnika.

Finnisterre je ugotovil, da ima podjetje DJI preslabo zavarovano spletno računalniško shrambo SkyPixel, ki jo uporabljajo lastniki njihovih dronov. Dostopal je lahko do fotografij, ki so jih posnele kamere na dronih (in videl marsikaj, tudi osebne izkaznice), in do shranjenih podatkov o preteklih trasah, kjer so leteli droni. Tudi vojaški. 

Opravil je delo zaposlenega, a plačila za to ne bo dobil

Ali se to šteje kot najdena napaka, ki omogoča izplačilo nagrade, je Finisterre vprašal podjetje DJI. Odgovorili so mu pritrdilno - za odkritje napake takšne magnitude bi mu pripadalo 30 tisoč ameriških dolarjev oziroma več kot 25 tisoč evrov, kar je bila najvišja nagrada.

Z odgovornimi v podjetju je izmenjal več kot 130 e-sporočil, na neki točki so mu ponudili celo delovno mesto svetovalca za varnost. Napisal je obsežno poročilo, v katerem je podrobno opisal napako in predlagal rešitve. 

Finisterre ne ve, zakaj, a s podjetjem DJI se nato niso slišali en mesec, potem pa so obrnili ploščo. V enem sporočilu so mu hkrati ponudili veliko manj denarja in grožnjo, da ga bodo tožili zaradi računalniškega vdora, če takoj ne uniči vseh podatkov, ki jih je odkril med svojo raziskavo. Ko se je Finisterre na obtožbe odzval z ogorčenostjo, so mu iz podjetja DJI preprosto prenehali pisati.

"Navaden heker, ki nas zdaj izsiljuje"

Denarja ni bilo, Finisterre pa je svoje vtise o dogodku sklenil v zapisu "Zakaj sem 30 tisoč dolarjem obrnil hrbet", kjer je objavljena tudi vsa korespondenca med njim in podjetjem DJI.

Tam je razvidno tudi, da se je proizvajalec dronov najprej strinjal o veljavnosti varnostne luknje, ki jo je odkril Finisterre, za izplačilo nagrade. A pred nekaj dnevi objavljeno sporočilo za javnost razkriva stališče podjetja DJI o incidentu: Finisterre je navaden heker, ki je vdrl v njihov računalniški sistem in jih nato začel izsiljevati.

Napako, na katero je opozoril Finisterre in o kateri je napisal skoraj diplomsko delo, je DJI medtem že odpravil.