Un ex empleado del fabricante chino de drones DJI fue condenado a prisión por filtrar las claves privadas de los repositorios de la compañía en GitHub, reportan especialistas en ciberseguridad.
Las claves de la compañía fueron expuestas al público a principios de 2018, debido a esto, cualquier usuario con acceso a la clave, y con las habilidades y conocimientos requeridos, podría haber accedido al firmware cifrado de control de vuelo de la compañía, así como eliminar algunas restricciones en los drones.
Li Zhanbin, el empleado responsable de la filtración, trabajaba en DJI creando código para una plataforma de control de drones, así como en le programación de dispositivos empleados en sistemas de maquinaria agrícola, mencionan los especialistas en ciberseguridad.
El empleado filtró el código fuente de 4 repositorios de la compañía al abrir una cuenta en GitHub, cargándolo en un repositorio público y haciéndolo accesible para cualquier usuario de esta plataforma. El empleado también filtró una clave SSL para el sitio web de la compañía, mediante la cual podría falsificarse este sitio y descifrar la comunicación entre los dispositivos y los servidores de la compañía en China.
El programador argumenta que compartió estas claves por accidente, agregando que, después de descubrir su error, eliminó inmediatamente el código de GitHub y reportó el incidente a la policía y a la compañía, agregando que estaba dispuesto a hacer frente a las consecuencias de su equivocación.
Especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética (IICS) confirmaron que Li Zhanbin fue sentenciado a seis meses de prisión, además del pago de una multa equivalente a 30 mil dólares, por revelar secretos comerciales. No obstante, la compañía ha mencionado que las pérdidas provocadas por esta filtración de propiedad intelectual confidencial han provocado daños por alrededor de 170 mil dólares, cinco veces el valor de la multa.
La compañía aún desconoce si algún usuario pudo acceder al material filtrado durante el tiempo que los repositorios permanecieron expuestos para los usuarios de GitHub; se esperan mayores informes sobre el incidente durante los próximos días.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad