El fabricante de drones DJI sufrió una fuga de datos en septiembre que permitió a los piratas informáticos obtener acceso a las imágenes de la cámara y al historial de vuelo de un usuario. La filtración ya fue descubierta en marzo por investigadores de la empresa de seguridad cibernética Check Point . En algunos casos, incluso fue posible tomar el control de los drones y ver su cámara en tiempo real.
Esquivar el procedimiento de inicio de sesión
La vulnerabilidad de seguridad se deriva de la forma en que los usuarios inician sesión en los foros de DJI. Los investigadores pudieron interceptar los llamados tokens de acceso de un usuario a través de un trozo de código inyectado . Esto hizo posible eludir el procedimiento de inicio de sesión habitual. El usuario en cuestión tenía que hacer clic en un enlace especial primero, pero podría colocarse en una publicación de foro de aspecto inocente.
Una vez que ingresaron a la cuenta de un usuario, los investigadores pudieron ver todos los datos disponibles, como los registros de vuelo, las imágenes de cámara almacenadas y los últimos cuatro dígitos de las tarjetas de crédito conectadas a la cuenta. Si el usuario en cuestión usara la plataforma de negocios FlightHub , los investigadores podrían incluso ver imágenes de cámaras en vivo y cargar misiones de forma remota a los drones conectados a FlightHub.
‘No hay peligro’
Después de que los investigadores de seguridad informaron la fuga en DJI, la compañía tardó varios meses en sellar la fuga. Eso tomó mucho tiempo porque la forma en que los usuarios inician sesión está profundamente entrelazada en múltiples sistemas y aplicaciones de DJI. Por lo que se sabe, esta fuga no se ha utilizado de forma activa por los hackers.
Un portavoz de DJI dijo que estaba contento con la forma en que Check Point manejó la violación de datos. “Han tratado con prudencia lo que era potencialmente una vulnerabilidad crítica. Esta es exactamente la razón por la que configuramos un programa de recompensas de errores “.
No es la primera vez
No es la primera vez que DJI se siente avergonzado por un problema de seguridad. El año pasado , un experto en seguridad cibernética independiente informó que los datos de los usuarios de los sistemas DJI podrían verse durante demasiado tiempo a través de los servidores de Amazon que éstos utilizan. Esto condujo, entre otras cosas, a la decisión del Departamento de Defensa de los Estados Unidos de no utilizar productos DJI por el momento.
Para recuperar la confianza del cliente, DJI ha anunciado varias medidas, como la introducción del Modo de datos locales , que debe garantizar que los datos no se transmitan a los servidores de DJI durante o después de un vuelo. DJI también trabaja en una función llamada Private Cloud Access , que permite a los usuarios empresariales almacenar datos de sus drones en sus propios servidores en lugar de los DJI.
