Производитель дронов DJI хранил закрытые SSL-ключи 4 года публично

Олег Иванов 17 Ноября 2017 - 16:13

Домашние пользователи

Общее

Несанкционированный доступ

Утечки информации

Случайные утечки

...

Производитель дронов DJI хранил закрытые SSL-ключи 4 года публично

Китайский производитель дронов DJI оставил приватный ключ своего HTTPS-сертификата открытым на GitHub, причем он был публично доступен в течение четырех лет. В итоге ключ сертификата предоставил злоумышленникам информацию, необходимую для создания экземпляров с правильным HTTPS-сертификатом и перенаправлять пользователей на вредоносные сайты.

Киберпреступники также могли использовать ключ для дешифрования перехваченного трафика. Это довольно странная ситуация, учитывая, что DJI является одним из крупнейших в мире производителей авиационных беспилотных летательных аппаратов малого и среднего размера.

Частный SSL-ключ был найден в публичном репозитории GitHub, принадлежащем DJI, Кевином Финистерром (Kevin Finisterre), исследователем, специализирующимся на продуктах DJI.

«Я обнаружил незашифрованные журналы полетов, паспорта, водительские права и удостоверения личности. Следует отметить, что более новые журналы и персональная идентификационная информация (PII) были зашифрованы статическим паролем OpenSSL, так что некоторые данные были защищены», — объясняет Финистерр.

К слову, ранее в этом году американская армия полностью запретила использование продуктов DJI своим персоналом. Основания для такого решения до сих пор остаются туманными, власти ссылались на наличие неких «кибер-уязвимостей».

Также Финистерр опубликовал PDF-файл на 18 страниц, в котором описал процесс общения с представителями американского отделения DJI, в ходе которого он пытался сообщить о грубых ошибках по части безопасности.

Представители DJI связались с нами, сообщив, что они расследуют данный инцидент. Так как компания серьезно относится к безопасности данных своих клиентов, DJI привлекла независимую фирму, специализирующуюся на кибербезопасности, для расследования любого несанкционированного доступа.

«Некий хакер опубликовал в интернете данные, полученные в ходе конфиденциального общения с сотрудниками DJI, касающегося программы вознаграждения за найденные уязвимости. Несмотря на продолжающиеся попытки DJI вести переговоры с ним, он выдвигал свои условия и угрожал DJI, если они не будут выполнены», — говорится в официальном заявлении DJI.

«DJI очень серьезно относится к безопасности данных и будет продолжать совершенствовать свои продукты благодаря исследователям, которые ответственно обнаруживают проблемы, которые могут повлиять на безопасность пользовательских данных. Мы заплатили тысячи долларов исследователям, которые предоставили нам отчеты», — продолжают представители DJI.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »