La utilidad de los programas de bug bounty: un caso práctico
- Actualidad
La colaboración de Check Point con la plataforma de drones DJI ha permitido evitar que los ciberdelincuentes explotasen un fallo de seguridad que les permitía acceder a las cuentas de los usuarios.
También puedes leer... |
Las dos compañías han compartido detalles sobre la potencial vulnerabilidad que podría haber afectado la infraestructura de DJI, si se explotara. Lo han hecho mediante un informe de Check Point presentado de acuerdo con el Bug Bounty Program de DJI.
Check Point Research describió como un ciberatacante podría haber obtenido acceso a la cuenta de un usuario a través de una vulnerabilidad en el proceso de identificación en el Foro de DJI, una comunidad online patrocinada por la propia compañía para debatir sobre sus productos. Los investigadores de Check Point descubrieron que las plataformas de DJI utilizaban un token para identificar a los usuarios registrados en el ámbito de los diferentes aspectos de la experiencia de cliente, haciendo de él un objetivo de los hackers que buscan formas de acceder a las cuentas.
Los usuarios de DJI que habían sincronizado sus registros de vuelo, así como fotos y vídeos en los servidores de la nube de la compañía, y los usuarios corporativos de DJI que usaron el software DJI FlightHub, que incluye una cámara en vivo, audio y vista de mapa, podrían haberse visto afectados por la vulnerabilidad. El fallo de seguridad se ha reparado y no hay evidencia de que alguna vez se haya explotado.
Los ingenieros de DJI revisaron el informe presentado por Check Point y, de acuerdo con la política Bug Bounty, lo marcaron como de alto riesgo/baja probabilidad. Esto se debe a un conjunto de condiciones previas que deben cumplirse antes de que un atacante potencial pueda explotarlo. Los clientes de DJI siempre deben usar la versión más reciente de las aplicaciones DJI GO o GO 4.
Mario Rebello, vicepresidente y Country Manager de DJI en Estados Unidos, subraya que los investigadores de Check Point demostraron su experiencia mediante la divulgación responsable de esta vulnerabilidad potencialmente crítica. “éste es el motivo por el que DJI estableció un Bug Bounty Program. Todas las compañías de tecnología entienden que reforzar la ciberseguridad es un proceso continuo que nunca termina. Proteger la integridad de la información de nuestros usuarios es una de las principales prioridades para DJI, y nos comprometemos en continuar colaborando con investigadores de seguridad responsables, como Check Point".
Ambas empresas aconsejan a todos los usuarios que estén alerta siempre que intercambien información digitalmente. También recomiendan practicar hábitos seguros cuando se interactúe con otros en línea, y cuestionar la legitimidad de los enlaces que encuentren en los foros de usuarios y sitios web.