Уязвимость сайта DJI раскрывала аккаунты пользователей хакерам

Олег Иванов 09 Ноября 2018 - 13:40

Домашние пользователи

...

Команда Check Point обнаружила уязвимость платформы для управления дронами DJI. Информацией о найденной уязвимости ИБ-компания поделилась вместе с представителями DJI, компании-разработчика гражданских беспилотных летательных аппаратов и технологий аэрофотосъемки. Эту брешь злоумышленники могли потенциально использовать для воздействия на инфраструктуру DJI.

В своем отчете специалисты Check Point утверждают, что злоумышленник мог потенциально получить доступ к аккаунту пользователя через уязвимость, обнаруженную в процессе идентификации юзерв на онлайн-форуме DJI Forum. Эксперты продемонстрировали, как злоумышленники могут добраться до учетной записи пользователя с помощью платформ DJI и украсть следующие данные:

Журналы полетов, фотографии и видео с дронов, если пользователь DJI синхронизировал их с облачными серверами DJI.
Снимки с камеры и запись траектории полета в режиме реального времени, если использовалось программное обеспечение для управления полетом FlightHub DJI.
Информация, связанная с учетной записью пользователя DJI (например, данные профиля, сведения о кредитной карте и т.д.)

Уязвимость можно было проэксплуатировать через онлайн-форум для пользователей DJI Forum. Исследование показало, что серверный интерфейс DJI идентифицирует каждого пользователя с одинаковым ID-маркером на всех платформах.

Таким образом, открывался вектор для XSS-атаки, которая перехватывает идентификационный токен и использует его для входа в систему в качестве пользователя.

В отличие от большинства случаев похищения аккаунтов, когда злоумышленники полагаются на методы социальной инженерии, в этом случае достаточно было собрать идентификационный токен пользователя с помощью обычной ссылки, размещенной на форуме DJI, чтобы взломать аккаунт жертвы на всех платформах. Когда пользователь переходил по вредоносной ссылке, его учетные данные могли быть похищены для доступа к другим ресурсам:

Веб-платформе DJI (учетная запись, магазин, форум);
Данным облачного сервера, которые синхронизируются с приложениями DJI Go или DJI GO 4;
Системе управления дронами DJI FlightHub.

Брешь получила высокий уровень опасности. Check Point уведомила DJI о ее наличии, после чего компания устранила проблему.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 21:28

GenAI (генеративный искусственный интеллект) Общее BI.ZONE

Киберпреступники распробовали ИИ: число атак выросло почти вдвое

Злоумышленники резко нарастили интерес к искусственному интеллекту. По данным BI.ZONE, в 2025 году количество целевых атак с применением ИИ выросло на 93%, а с начала 2026 года — ещё в три раза. Специалисты BI.ZONE Threat Intelligence и BI.ZONE Digital Risk Protection изучили более 7400 сообщений на теневых форумах и выяснили: тема ИИ у киберпреступников больше не выглядит экзотикой.

Если раньше такие обсуждения встречались единично, то теперь отдельные ветки есть минимум на семи площадках.

Главный хит подпольных обсуждений — обход ограничений публичных ИИ-моделей. На эту тему приходится 77% публикаций. Злоумышленники делятся готовыми промптами и инструкциями, пытаясь заставить популярные модели генерировать вредоносный код или помогать в подготовке атак.

Всплеск интереса пришёлся на конец 2025-го и начало 2026 года, когда вышли новые версии крупных моделей. Но реальность пока холодно щёлкает энтузиастов по носу: код, полученный через такие «обманутые» модели, часто содержит ошибки и просто не работает. Впрочем, опытный атакующий может использовать отдельные фрагменты как заготовку.

На втором месте — нецензурируемые ИИ-модели, созданные специально под задачи злоумышленников. Им посвящены 22% сообщений. Часть таких решений бесплатна, часть продаётся по подписке — от 6 до 990 долларов в месяц.

Но и тут магии не случилось. Тесты BI.ZONE показали, что ни одна из популярных моделей без ограничений пока не выдаёт готовый рабочий инструмент для атаки. Максимум — помогает ускорить рутину тем, кто и так понимает, что делает.

Около 1% сообщений касается попыток автоматизировать полный цикл кибератаки: от разведки до социальной инженерии. ИИ действительно может ускорять поиск целей, писать фишинговые тексты, генерировать дипфейки и помогать с кодом. Но полностью заменить человека он пока не способен.

Ирония в том, что на подпольном рынке уже начали хвастаться обратным: мол, наше вредоносное приложение написано без вайбкодинга и без ИИ. Видимо, даже киберпреступники поняли, что сгенерировано нейросетью — не всегда знак качества.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!