Después de anunciar su programa de recompensas para que cualquiera pueda descubrir huecos de seguridad a cambio de dinero, DJI amenaza a un ingeniero que reportó un fallo en sus servidores.
Al igual que muchas otras compañías, como Google, Microsoft o Facebook, el mayor fabricante de drones de la actualidad, DJI, activó un programa de recompensas para aquellas personas que descubrieran fallos que pudieran afectar la seguridad de consumidores, como la filtración de datos privados, información personal, fotos, videos o registros de vuelo.
Es una iniciativa interesante porque los drones presentan nuevos retos y fronteras entre la privacidad, la libertad de vuelo y regulaciones locales.

En ese sentido, un ingeniero de software llamado Kevin Finisterre descubrió un hueco de seguridad importante en la infraestructura de DJI que les permitió acceder a información privada de clientes. Resulta que la compañía hizo pública (sin querer, obviamente) la llave privada del certificado SSL y de la llave AES usada para firmar la autenticidad de las actualizaciones de firmware de sus drones.
Finisterre escribió a DJI y preguntó si sus servidores están dentro del alcance del programa de recompensa por identificación de fallos. La respuesta de la empresa fue sí.

Esto lo llevó a empezar a hacer investigación y averiguación. No solo descubrió que la llave privada antes mencionada estaba expuesta en Github hace cuatro años, sino que algunas cuentas de Amazon Web Services de la empresa estaban marcadas como públicas, por lo que cualquiera podía acceder a archivos adjuntos de emails recibidos, imágenes de drones averiados, …