Pesquisador acusa DJI de ameaçá-lo depois de encontrar vulnerabilidade e empresa se defende

A DJI começou recentemente um programa de premiação para programadores que encontrarem e relatarem bugs ou vulnerabilidades nos serviços oferecidos pela fabricante de drones, assim como fazem muitas companhias. Interessado numa das recompensas, o pesquisador Kevin Finisterre relatou para a empresa ter encontrado dados de usuários expostos online, mas afirma que as respostas que obteve foram bem diferentes do esperado, culminando até numa ameaça de processo.

Finisterre relata toda sua história num arquivo em PDF que pode ser lido em inglês neste link, mas o resumo é que, segundo ele, a DJI não tinha bem definido que tipos de bugs e vulnerabilidades estariam amparados pelo programa de recompensas, recebendo informações diferentes em cada contato com a empresa. Foram mais de 130 e-mails trocados, que chegaram a oferecer para ele uma vaga na companhia e até a recompensa de US$ 30.000, a mais alta prevista pelo programa.

Ao mesmo tempo, em outros e-mails foi ordenado que ele apagasse todos os dados encontrados e até houve ameaças de processo, segundo ele. O pesquisador afirma que não assinou o documento final porque lhe foi oferecido um contrato muito suspeito, cerceando sua liberdade de expressão e não garantindo que ele não poderia ser processado depois de tanta discussão. Além de recusar o acordo, Finisterre publicou a polêmica para todo mundo ver.

A DJI, então, se defende das acusações. A empresa afirma que se dedica a proteger os dados de seus usuários, tomando as providências necessárias para manter a segurança de seus servidores. A companhia chama Finisterre de "hacker" e diz que os termos do acordo que ele não quis acatar têm como objetivo proteger os dados confidenciais dos usuários e da DJI:

"A DJI criou o Centro de Resposta de Segurança para encorajar pesquisadores de segurança cibernética independentes a reportar de forma responsável possiveis vulnerabilidades. A DJI pede aos pesquisadores que sigam termos padrões para programas de recompensas de bugs, que têm como objetivo, proteger dados confidenciais e permitem tempo para análise e resolução de uma vulnerabilidade antes de serem divulgadas publicamente. O hacker em questão se recusou a concordar com esses termos, apesar das tentativas contínuas da DJI de negociar com ele e ameaçou a DJI caso seus termos não fossem cumpridos."

O documento não esclarece se a empresa vai seguir em ação legal contra Finisterre ou não.

Via: Ars Technica
Tags
  • Redator: João Gabriel Nogueira

    João Gabriel Nogueira

    João Gabriel Nogueira se formou em jornalismo pela Universidade Federal de Santa Catarina (UFSC) em 2015 e curte games desde muito antes. Começou com o Master System e o gosto pelos jogos eletrônicos trouxe o gosto pela tecnologia. Escrever notícias e análises de jogos, hardware e dispositivos móveis para o Adrenaline, além de trabalho é uma alegria e um aprendizado.

Os jogos mais aguardados do segundo semestre de 2021

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.