大疆网站的 HTTPS 证书私钥在 GitHub 上公开长达四年

中国无人机制造商大疆在GitHub泄露了自己的SSL私钥,这样的情况已经持续四年。

punch_face_987238957365.jpg

由于通配符证书密钥(*.dji.com域名)遭到泄露,攻击者可以以大疆的名义制作网站,或者把受害者重定向到恶意伪造的网站然后进行下载中间人攻击。黑客还可以使用密钥来解密和篡改拦截网络流量。

私人SSL密钥被研究员Kevin Finisterre发现存储在DJI公司的的公共GitHub仓库中,这个仓库专门研究DJI产品。 除此之外,AWS账户密码和固件AES加密密钥也被暴露。

Finisterre说:“我看到了未加密的飞行日志,护照,驾驶执照和身份证。”值得注意的是新的日志和PII(个人身份信息)似乎是用静态OpenSSL密码加密的,因此理论上有部分数据没有安全保存。“