Det marknadsledande kinesiska drönarföretaget DJI har slarvat ordentligt med kundernas säkerhet. Det rapporterar The Register.

Bolaget har, förmodligen av misstag, laddat upp en rad privata nycklar på Github. Upptäckten gjordes av säkerhetsforskaren Kevin Finisterre som specialiserat sig på att hitta sårbarheter i företagets drönare.

Värst för enskilda kunder är förmodligen att DJI råkat lägga ut inloggningsuppgifterna till sitt konto på Amazons webbtjänst. Där gick det enkelt att komma över känslig information som kunderna laddat upp.

Läs också: Uppfinningen som sågar stenhårt - nu kommer drönaren med inbyggd motorsåg

– Jag har sett okrypterade flygloggar, pass, körkort och id-kort, säger Kevin Finisterre till The Register.

Dessutom fanns nycklarna till DJI:s ssl-certifikat. Med hjälp av dem skulle en angripare kunna sätta upp en falsk hemsida som ser ut att vara signerad av drönarföretaget. Uppgifterna ska ha legat uppe på Github i minst två år.

Efter att Kevin Finisterre rapporterade problemen till DJI:s nyinstiftade buggjägarprogram tog historien en ny vändning. Drönarföretaget har sedan dess tagit bort nycklarna från nätet och fått nya ssl-certifikat och inloggningsuppgifter till AWS.

Men de 30 000 dollar som Kevin Finisterre skulle fått som belöning har han inte sett röken av. Han hamnade i en hätsk diskussion med DJI över det kontrakt som bolaget ville att han skulle skriva på. Ett avtal som Finisterres jurister klassade som "ytterst riskabelt" och avrådde honom från att skriva under.

Läs också: Dresserade örnar är holländska polisens nya vapen mot fientliga drönare

Berättelsen slutade med att DJI hotade att anmäla säkerhetsforskaren för dataintrång, vilket fick Kevin Finisterre att offentliggöra säkerhetsproblemen. I en kommentar till Arstechnica skriver DJI att det i själva verket är "hackaren" Kevin som har hotat dem.

"Hackaren i fråga har vägrat gå med på våra avtal, trots DJI:s många försök att förhandla med honom, och han har hotat DJI om vi inte går honom till mötes", skriver en talesperson för bolaget.