Tihon74
Заблокирован
- Регистрация
- 25.06.17
- Сообщения
- 2.588
- Реакции
- 71
- Репутация
- 157
Обратите внимание, если вы хотите провести сделку с данным пользователем, на то, что он заблокирован!
Обязательно используйте услуги гаранта и не переводите денежные средства данному пользователю первым.
В течение нескольких лет ключи SSL-сертификата сайта dji.com находились в открытом репозитории на GitHub.
Ключи цифрового сертификата для сайта китайского производителя дронов DJI в течение четырех лет находились в открытом доступе. Имея в своем распоряжении ключи SSL-сертификата dji.com, злоумышленники могут подделать сайт компании, подписать его с помощью легитимного сертификата и незаметно перенаправлять пользователей на вредоносные загрузки путем стандартной атаки «человек посередине». Злоумышленники также могут использовать ключи для расшифровки трафика, передаваемого с/на сервер.
Закрытый ключ SSL-сертификата был обнаружен исследователем Кевином Финистерре (Kevin Finisterre) в открытом репозитории DJI на GitHub. Кроме того, там же находились учетные данные для авторизации в AWS и ключи шифрования AES прошивки. В открытом хранилище AWS S3 Финистерре обнаружил в незашифрованном виде такую конфиденциальную персональную информацию, как логи полетов, данные паспортов, водительских прав и идентификационных карт. Правда, более новые логи и персональные данные были зашифрованы с использованием статического пароля OpenSSL. DJI отозвала проблемный сертификат и в сентябре нынешнего года выпустила новый.
Напомним, в августе 2017 года Армия США из соображений безопасности отказалась от использования дронов производства DJI. В 2016 году DJI согласилась предоставлять полученные со своих дронов данные властям КНР.