Уязвимость сайта DJI раскрывала аккаунты пользователей хакерам
Главная » Новости
Публичное облако: кто отвечает за безопасность?Облако в 2026 году — это уже не просто серверы у провайдера, а полноценная часть ИТ-инфраструктуры компании. И главные риски сегодня связаны не с “железом”, а с ошибками настройки, избыточными доступами, API и размытыми зонами ответственности. 10 июня в 11:00 в прямом эфире AM Live разберём, как сегодня выглядит безопасность публичного облака и какие ошибки чаще всего приводят к инцидентам.→ Регистрируйтесь по ссылке
Реклама. ООО «АМ Медиа», ИНН 7703628151, 16+

Уязвимость сайта DJI раскрывала аккаунты пользователей хакерам

Олег Иванов 09 Ноября 2018 - 13:40
...
Уязвимость сайта DJI раскрывала аккаунты пользователей хакерам

Команда Check Point обнаружила уязвимость платформы для управления дронами DJI. Информацией о найденной уязвимости ИБ-компания поделилась вместе с представителями DJI, компании-разработчика гражданских беспилотных летательных аппаратов и технологий аэрофотосъемки. Эту брешь злоумышленники могли потенциально использовать для воздействия на инфраструктуру DJI.

В своем отчете специалисты Check Point утверждают, что злоумышленник мог потенциально получить доступ к аккаунту пользователя через уязвимость, обнаруженную в процессе идентификации юзерв на онлайн-форуме DJI Forum. Эксперты продемонстрировали, как злоумышленники могут добраться до учетной записи пользователя с помощью платформ DJI и украсть следующие данные:

  • Журналы полетов, фотографии и видео с дронов, если пользователь DJI синхронизировал их с облачными серверами DJI.
  • Снимки с камеры и запись траектории полета в режиме реального времени, если использовалось программное обеспечение для управления полетом FlightHub DJI.
  • Информация, связанная с учетной записью пользователя DJI (например, данные профиля, сведения о кредитной карте и т.д.)

Уязвимость можно было проэксплуатировать через онлайн-форум для пользователей DJI Forum. Исследование показало, что серверный интерфейс DJI идентифицирует каждого пользователя с одинаковым ID-маркером на всех платформах.

Таким образом, открывался вектор для XSS-атаки, которая перехватывает идентификационный токен и использует его для входа в систему в качестве пользователя.

В отличие от большинства случаев похищения аккаунтов, когда злоумышленники полагаются на методы социальной инженерии, в этом случае достаточно было собрать идентификационный токен пользователя с помощью обычной ссылки, размещенной на форуме DJI, чтобы взломать аккаунт жертвы на всех платформах. Когда пользователь переходил по вредоносной ссылке, его учетные данные могли быть похищены для доступа к другим ресурсам:

  • Веб-платформе DJI (учетная запись, магазин, форум);
  • Данным облачного сервера, которые синхронизируются с приложениями DJI Go или DJI GO 4;
  • Системе управления дронами DJI FlightHub.

Брешь получила высокий уровень опасности. Check Point уведомила DJI о ее наличии, после чего компания устранила проблему.

Следующая главная новость »
AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Аэрофлот и Сбер хотят подключить ИИ-агентов к покупке поездок
Екатерина Быстрова 04 Июня 2026 - 18:59
GenAI (генеративный искусственный интеллект) Домашние пользователиКорпорации
Аэрофлот и Сбер хотят подключить ИИ-агентов к покупке поездок

Аэрофлот и Сбер договорились вместе разрабатывать решения для транспортной отрасли на основе генеративного искусственного интеллекта. Соглашение подписали на ПМЭФ-2026 гендиректор Аэрофлота Сергей Александровский и глава Сбербанка Герман Греф.

Партнёрство рассчитано на три года. За это время компании планируют обмениваться опытом, тестировать цифровые продукты и внедрять сервисы для автоматизации бизнес-процессов. Отдельный акцент сделают на технологиях ИИ.

Самая интересная часть соглашения — идея связать интеллектуальных ИИ-агентов Аэрофлота и Сбера в единую экосистему. По задумке, такие агенты смогут взаимодействовать друг с другом напрямую, без человека-оператора, и решать комплексные задачи в реальном времени.

На практике это может привести к появлению более цельного клиентского сценария. Например, пользователь выбирает рейс, оплачивает билет, оформляет страховку и покупает дополнительные тревел-услуги без прыжков между приложениями и без бесконечного повторного ввода одних и тех же данных.

Звучит как попытка наконец-то убрать из покупки поездки цифровую возню, к которой все давно привыкли. Потому что сейчас даже простой маршрут может превратиться в мини-квест: билет здесь, страховка там, ещё один сервис в отдельном окне, данные вводим заново, терпение теряем по дороге.

Пока речь идёт о развитии технологии и совместной работе, а не о готовом сервисе, который появится завтра утром. Но направление понятно: крупные игроки хотят встроить ИИ не только в чат-боты и поддержку, а в саму логику покупки и сопровождения поездки.

Если проект дойдёт до работающего продукта, ИИ-агенты смогут взять на себя часть рутины, а пользователю останется меньше кнопок, меньше форм и меньше раздражения. В тревеле это уже звучит почти как роскошь.

AM LiveПубличное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!
Apple выложила код постквантовой криптографии на GitHub
Новость
Apple выложила код постквантовой криптографии на GitHub
Под видом Telegram-клиентов и игр орудуют Chrome-аддоны для кражи аккаунтов
Новость
Под видом Telegram-клиентов и игр орудуют Chrome-аддоны для...
OneDrive превратился в рассадник спама через функцию шеринга
Новость
OneDrive превратился в рассадник спама через функцию шеринга

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2026. Все права защищены.