A história é contada por Kevin Finisterrer e rapidamente chegou ao top das mais vistas do Hacker News. O caçador de bugs revela que descobriu que a DJI tinha publicado no GitHub, acidentalmente, um certificado SSL que dava acesso a informação sensível dos clientes alojada nos servidores da empresa. Numa primeira abordagem, a DJI confirmou que a falha entrava no âmbito da caça aos bugs e que daria direito a uma recompensa de 30 mil dólares.
No entanto, algum tempo depois, Finisterre viu-se a braços com um imbróglio com a equipa legal da DJI, que lhe enviou cartas a solicitar que não revelasse publicamente a falha ou que já tinha colaborado com a DJI de todo. Num programa de caça de bugs, os especialistas procuram, não só a recompensa monetária, como o reconhecimento e o crédito pela descoberta. Com a carta onde se referia ao Computer Fraud and Abuse Act, a DJI parece estar a intimidar Finisterre que optou por declinar a recompensa monetária e publicar a sua experiência.
«Recomendamos que a DJI corrija a falha o mais rapidamente possível e não tente qualquer ação legal. Com base na informação que temos hoje, parece estar a haver um mal entendido e não haver qualquer má intenção», disse Jonathan Cran, o vice-presidente da Bugcrowd, uma plataforma especializada em programas de caça a bugs.
Há empresas que, antes de lançar este tipo de iniciativas, exigem que os investigadores não revelem publicamente as falhas, mas essa informação é passada antes do programa estrear, o que não parece ter sido o caso da DJI.
