2017年,DJI的一位开发人员 “无意间” 在 Github 上以纯文本形式发布了 DJI 的私人 AES 密钥,此前曾表达自杀念头的开发人员此后被投入监狱。
报告说,访问密钥将允许访问 DJI 的加密飞行控制固件,从而为绕过 DJI 无人机的地理围栏和其他性能限制提供了可能性。还以纯文本形式披露了*. dji.com的通配符SSL密钥,为熟练的 “研究人员” 提供了欺骗 DJI 网站和解密 DJI 无人机与该公司在中国的服务器之间通信的选项。
该开发人员已于四月初在深圳地方法院成功检控。当地媒体报道:
他说: “该雇员因违反商业秘密被判入狱六个月。罚款20万元人民币 “(不到3万美元),而对DJI造成的损失约为116万元人民币, 约为 17.5万美元。
研究人员 Kevin Finisterre 转交了被监禁的开发人员李占斌(Li Zhanbin音译)的以下引文。其内容如下:
“我是一个愚蠢的家伙, 无意中共享 DJI SSL 密钥和固件 AES 密钥的 github。我总共共享了4个存储库, 分别名为 ‘spray-system’, ‘Management-platform’, ‘real_time_serve_v1’ and ‘real_time_serve’。
如果菲尼斯特尔这个名字听起来你很熟悉, 很可能是因为前段时间的这个故事。菲尼斯特雷也是在github发现钥匙的人。现在被监禁的开发人员李占斌曾请求帮助与中国警方打交道。
在另一封电子邮件中,李占斌解释说,他在2018年1月26日从DJI离职,他补充到:
“我出生在一个非常贫穷的村庄;我一直在努力工作, 我终于进入了…..。大学。这对我和我的父母来说是一件非常幸福的事情。但现在所有的事情都做完了。我完了。我会坐牢的, 我必须把这个污点…..。在我的生活中我的女朋友开始和我分手了, 哇, 我的家庭破裂了。!!!什么是可怕的事情!也许我现在唯一能做的就是死;它是如此的艰难。我需要自由。
当地媒体似乎在引用中国国家检察官的报道, 这位被监禁的开发人员在推特上写道:”无意透露大疆的秘密” 和 “我很遗憾我没有法律意识, 我愿意承担相应的法律责任”。
DJI 的发言人拒绝提供进一步的信息。他说:”DJI 不评论涉及现任或前任雇员的法律事项。我们公司的政策是不在媒体上讨论具体的就业问题。”
相关事件:《大疆漏洞奖励计划引发争议:信息安全研究员遭法务威胁 放弃3万美元的漏洞赏金》
来源:https://dronedj.com/2019/04/30/djis-private-keys-github-chinese-developer-jail/