Programas de recompensa para hackers têm crescido em popularidade por apresentarem ganhos em todas as direções: o profissional de segurança acaba preferindo trabalhar com a empresa, a empresa tem seus produtos analisados exaustivamente por vários profissionais e os usuários, como consequência, ficam mais seguros. Mas nem sempre esses acordos prosperam.

Um exemplo bem recente surgiu há poucos dias, quando Kevin Finisterre publicou um texto contando por que havia optado por dispensar uma recompensa de US$ 30 mil após encontrar falhas no ecossistema da chinesa DJI.

A DJI é responsável pelos drones da marca Phantom. Em abril, o Exército dos EUA baniu o uso dos dispositivos da empresa pelas tropas devido a preocupações com cibersegurança, mas no mesmo mês a DJI ganhou destaque no Brasil ao ser anunciada como parte do “Dronepol”, iniciativa da Prefeitura de São Paulo que prevê o uso de drones em programas de vigilância e monitoramento.

Pouco tempo após o problema com o exército americano, a DJI anunciou que remuneraria hackers em troca de falhas encontradas nos seus sistemas, então Finisterre (como muitos profissionais da área) começou a trabalhar nisso até descobrir problemas que pudessem render recompensa.

Em setembro, Finisterre descobriu que uma série de dados críticos da DJI estavam expostos em fóruns de programação. Com isso, ele foi capaz de acessar informações sigilosas dos consumidores da empresa, como números de passaporte e carteira de habilitação, identificações governamentais e até especificações de voo vindas de contas associadas a domínios militares.

Quando contatou a DJI para contar sobre o que tinha encontrado, Finisterre entrou em uma conversa quase sem fim em que foram trocados mais de 130 e-mails. A empresa chegou a prometer um pagamento máximo pelas descobertas (os US$ 30 mil), mas depois voltou atrás, e em determinado momento até ameaçou o profissional com base na legislação de fraude e abuso cibernético dos EUA.

Quando fez uma “oferta final”, a DJI enviou a Finisterre um contrato. Ele encaminhou o documento a quatro advogados e todos recomendaram que ele não assinasse porque a linguagem do documento levava a crer que ele não teria qualquer proteção da empresa caso quisesse falar sobre suas descobertas. Inconformado, Finisterre publicou suas descobertas na internet junto com o texto em que explica todo esse imbróglio.

Procurada pelo Ars Technica, a DJI disse que estava investigando um “acesso não autorizado” aos seus servidores, que “o hacker em questão se recusou a aceitar” os termos propostos pelo programa da empresa “apesar dos contínuos esforços da DJI em negociar com ele”, e que Finisterre ameaçou a marca.