OpenForum RSS: Производитель дронов DJI по ошибке опубликовал закрытые ключ... https://opennet.ru/openforum/vsluhforumID3/112779.html Компания DJI (https://ru.wikipedia.org/wiki/DJI_(%D0%BA%D0%BE%D0%BC%D0%BF%D0%B0%D0%BD%D0%B8%D1%8F)), один из крупнейших производителей дронов, по недосмотру разместила (https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf) на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет.<br><br><br><br>Находящейся в архиве информации было достаточно для полной компрометации инфраструктуры компании и подмены сайтов, включая security.dji.com (Security Reporting Center). В ходе экспериментов исследователю также удалось получить доступ к логам о ходе полётов и идентификационной информации.<br><br><br><br><br>В настоящее время ключи уже отозваны (https://crt.sh/?id=150776065) и заменены на новые. Интересно, что компания DJI выразила готовность выплатить исследователю награду в 30 тысяч долла Производитель дронов DJI по ошибке опубликовал закрытые ключ... (zanswer CCNA RS and S) https://opennet.ru/openforum/vsluhforumID3/112779.html#42 Sun, 19 Nov 2017 15:41:22 GMT Справедливости ради, стоит сказать, что общался он с менеджером не мало и письмо из юридического департамента он показал по меньшей мере четырём юристам. <br><br>К слову на протокол разногласий он потратил более 300$, но, к сожалению, компания оставила его старания без внимания, перестав отвечать, как на письма, так и SMS, Twitter DM. <br><br>В итоге исследователь принял решение отказаться от данного приза и написал 18 страничных PDF рассказывающий в подробностях о его борьбе за свой гонорар.<br><br>Суть проблемы заключалась не в том, что исследователь чересчур принципиальный, а в том, что No Disclose Agreement, содержал осень рискованные для него, как исследователя юридические обороты. <br><br>К примеру, там говорилось, что он не имеет и не имел права осуществлять прямой доступ к инфраструктуре компании. То есть он обязан был остановиться на точке обнаружения, а он фактически уже нарушил данные условия. И подписав такой NDA он рисковал сесть на скамью подсудимых, вместо получения своего гонорара. <br><br>Кому интересно, могут п Производитель дронов DJI по ошибке опубликовал закрытые ключ... (Агроном) https://opennet.ru/openforum/vsluhforumID3/112779.html#41 Sat, 18 Nov 2017 21:48:49 GMT &gt; Зачем такие сложности.<br>&gt; Просто девы не должны иметь доступа к любым системным production credentials. Вот <br>&gt; и все. И не надо ничего патчить.<br><br>Это означает наличие дополнительных штатных едениц, а зарплатный фонд ограничен.<br> Производитель дронов DJI по ошибке опубликовал закрытые ключ... (ram_scan) https://opennet.ru/openforum/vsluhforumID3/112779.html#40 Sat, 18 Nov 2017 15:03:02 GMT &gt; Ну и что ты узнал нового благодаря его принципиальности? Что люди ошибаются и что короткий пароль в нашем мире ценится дороже гигабайтов мусора с гитхаба? Ты вчера об этом не догадывался?<br><br>Корпорасты по какой-то странной причине не одупляют кто в этой ситуации кого за фаберже держит и кто кому должен. За что и поплатились.<br><br>Им вежливо предложили замять вопрос, а они пальцы разогнули что мол мы вот тут обосрамились но ///0пу будем вытирать себе на своих условиях.<br> Производитель дронов DJI по ошибке опубликовал закрытые ключ... (rwtzx) https://opennet.ru/openforum/vsluhforumID3/112779.html#39 Sat, 18 Nov 2017 06:21:55 GMT Зачем такие сложности.<br>Просто девы не должны иметь доступа к любым системным production credentials. Вот и все. И не надо ничего патчить.<br> Производитель дронов DJI по ошибке опубликовал закрытые ключ... (ACCA) https://opennet.ru/openforum/vsluhforumID3/112779.html#38 Sat, 18 Nov 2017 06:09:41 GMT Да там не про деньги был базар. Чувак написал вежливое письмо. Письмо переправили менеджеру. Менеджер переправил в юр. отдел. Из юр. отдела чуваку прислали писульку - "А вот подпиши, что ты нам и так торчишь и этак, и вообще нам по жизни должен"<br><br>Получили встречное предложение - "Многа букаф, ниасилил. И вообще, не пошли бы вы, 3.14доры найух!"<br><br> Производитель дронов DJI по ошибке опубликовал закрытые ключ... (Аноним) https://opennet.ru/openforum/vsluhforumID3/112779.html#37 Sat, 18 Nov 2017 02:29:38 GMT Ну и что ты узнал нового благодаря его принципиальности? Что люди ошибаются и что короткий пароль в нашем мире ценится дороже гигабайтов мусора с гитхаба? Ты вчера об этом не догадывался?<br><br>30 тыс за такую инфу - вполне нормальные деньги.<br> Производитель дронов DJI по ошибке опубликовал закрытые ключ... (EHLO) https://opennet.ru/openforum/vsluhforumID3/112779.html#36 Fri, 17 Nov 2017 20:50:36 GMT &gt;а какие существуют способы защиты от подобной случайной публикации?<br><br>Для начала не генерить не зашифрованные ключи и не хранить не зашифрованные пароли.<br> Производитель дронов DJI по ошибке опубликовал закрытые ключ... (EHLO) https://opennet.ru/openforum/vsluhforumID3/112779.html#35 Fri, 17 Nov 2017 20:48:35 GMT &gt;проблема, как обычно, в недоступности, особенно в наших краях, качественных железок с приличным софтом к ним.<br><br>Что за края такие?<br>Проблема в том что токен не безопаснее нормального зашифрованного ключа, но добавляет несколько лишних сущностей, причём закрытых и подозрительных<br> Производитель дронов DJI по ошибке опубликовал закрытые ключ... (Аноним) https://opennet.ru/openforum/vsluhforumID3/112779.html#34 Fri, 17 Nov 2017 20:41:25 GMT это антифича.<br>