Компания DJI, один из крупнейших производителей дронов, по недосмотру разместила на GitHub архив, в котором были оставлены закрытые ключи для HTTPS-сертификатов *.dji.com, AES-ключи для шифрования прошивок, а также пароли доступа к облачным окружениям в AWS и службе хранения Amazon S3. По данным заметивших ключи исследователей, архив находился в открытом доступе от двух до четырёх лет.
Находящейся в архиве информации было достаточно для полной компрометации инфраструктуры компании и подмены сайтов, включая security.dji.com (Security Reporting Center). В ходе экспериментов исследователю также удалось получить доступ к логам о ходе полётов и идентификационной информации.
В настоящее время ключи уже отозваны и заменены на новые. Интересно, что компания DJI выразила готовность выплатить исследователю награду в 30 тысяч долларов США, но для получения премии нужно было подписать соглашение о неразглашении, условия которого исследователь посчитал неприемлемыми и раскрыл данные об утечке, независимо от возможности получения гранта.
2-4 года? И почему я вспоминаю тот анекдот о неуловимом Джо.