Drones: un ciberataque simulado pero con impacto muy real
Las amenazas vienen de donde menos te lo esperas. En este caso, una comunidad de usuarios y un token fueron la puerta de entrada para datos sensibles de la tecnología de drones de DJI. ¿Quién se atreve a probar sus sistemas y, además, contarlo?
No es habitual que en España o Latinoamérica las empresas hagan públicas sus vulnerabilidades, por eso esta información merece ser noticia. Check Point Software Technologies, proveedor israelí de soluciones de ciberseguridad a nivel global, y DJI, empresa china que lidera el mercado de drones civiles y tecnología de imágenes aéreas, han compartido detalles sobre la potencial vulnerabilidad que podría haber afectado la infraestructura de DJI, en caso que ésta se explotara.
En un informe presentado de acuerdo con el Bug Bounty Program de DJI, Check Point Research describió como un ciberatacante podría haber obtenido acceso a la cuenta de un usuario a través de una vulnerabilidad en el proceso de identificación en el foro de DJI, una comunidad online patrocinada por DJI para debatir sobre sus productos. Los investigadores de Check Point descubrieron que las plataformas de DJI utilizaban un token para identificar a los usuarios registrados en el ámbito de los diferentes aspectos de la experiencia de cliente, haciendo de él un objetivo de los hackers que buscan formas de acceder a las cuentas.
Los usuarios de DJI que habían sincronizado sus registros de vuelo, así como fotos y videos en los servidores de la nube de DJI, y los usuarios corporativos de DJI que usaron el software DJI FlightHub, que incluye una cámara en vivo, audio y vista de mapa, podrían haberse visto afectados por la vulnerabilidad. El fallo de seguridad se ha reparado y no hay evidencia de que alguna vez se haya explotado.
"Agradecemos la experiencia que los investigadores de Check Point demostraron a través de la divulgación responsable de esta vulnerabilidad potencialmente crítica", dijo Mario Rebello, vicepresidente y Country Manager de DJI en EEUU. "Este es el motivo por el que DJI estableció un Bug Bounty Program. Todas las compañías de tecnología entienden que reforzar la ciberseguridad es un proceso continuo que nunca termina. Proteger la integridad de la información de nuestros usuarios es una de las principales prioridades para DJI, y nos comprometemos en continuar colaborando con investigadores de seguridad responsables, como Check Point".
Los ingenieros de DJI revisaron el informe presentado por Check Point y, de acuerdo con la política Bug Bounty, lo marcaron como de alto riesgo/baja probabilidad. Esto se debe a un conjunto de condiciones previas que deben cumplirse antes de que un atacante potencial pueda explotarlo. Los clientes de DJI siempre deben usar la versión más reciente de las aplicaciones DJI GO o GO 4.
Check Point y DJI aconsejan a todos los usuarios que estén alerta siempre que intercambien información digitalmente. También recomiendan practicar hábitos seguros cuando se interactúe con otros en línea, y cuestionar la legitimidad de los enlaces que encuentren en los foros de usuarios y sitios web.
