Kevin Finisterrer, um hacker e caçador de bugs, revelou que descobriu que a DJI tinha publicado acidentalmente no GitHub um certificado SSL que dava acesso a informação sensível dos clientes alojada nos servidores da empresa. O que, segundo um prémio de “caça ao bug” criado pela DJI garantiria a Finisterrer 30 mil dólares de recompensa.
No entanto, o hacker acabou por acusar a DJI de ter tentado forçá-lo a assinar um acordo de confidencialidade (NDA) que obrigava Finisterrer a manter a falha em segredo, mesmo após a correção da mesma, e a não poder procurar mais falhas relacionadas com sistemas da DJI. Obrigações que o hacker terá recusado.
Uma notícia que foi divulgada em vários meios de comunicação social depois de Jonathan Cran, o vice-presidente da Bugcrowd, uma plataforma especializada em programas de caça a bugs, ter sustentado as acusações de Kevin Finisterrer.
No entanto, num comunicado enviado às redações, a DJI nega as acusações e diz que terá apresentado ao hacker um contrato «com termos padrão em programas de recompensas por deteção de bugs, que são criados para proteger dados confidenciais e permitir que os analistas tenham tempo para resolver as vulnerabilidades antes que sejam divulgados publicamente». Segundo a DJI, Finisterrer terá recusado estes termos e até terá ameaçado a DJI com a divulgação pública da falha se a marca de drones não aceitasse as imposições do hacker.
Em resposta à Exame Informática, um porta-voz da DJI reforçou a informação do comunicado negando por completo as acusações relacionadas com a suposta proibição de divulgação da falha e de procura de outros bugs: «Acordámos que o Kevin podia divulgar qualquer informação sensível depois de termos tempo para reparar as falhas encontradas. Enquanto estávamos a negociar sobre quão fundo ele podia ir na análise das falhas, ele abandonou abruptamente as negociações e anunciou que não iria aceitar qualquer recompensa. Ainda temos, genuinamente, a esperança de encontrar um acordo adequado e pagar-lhe os prometidos 30 mil dólares».
