Компанія DJI виплатить 30 000 доларів США чоловікові, який виявив значну вразливість у її хмарній системі, що, зокрема, надавала доступ до флоту з приблизно 7000 роботів-пилососів та дозволяла заглядати в оселі користувачів. Видання The Verge повідомило, що компанія надіслала електронний лист Семмі Аздуфалу, інженеру-програмісту, який лише прагнув керувати своїм роботом-пилососом DJI Romo за допомогою контролера PS5, сповіщаючи про винагороду, проте не роз’яснила конкретних причин такого рішення.
Представники DJI наполягають, що вони вже розпочали усунення низки недоліків у своїх внутрішніх системах ще до того, як Аздуфал продемонстрував масштаб виявленого ним доступу, однак питання щодо винагороди та швидкості виправлення залишаються відкритими. Згідно з електронним листом, який Аздуфал надав виданню The Verge, DJI погодилася виплатити йому 30 000 доларів США за одне з його відкриттів, хоча компанія не уточнила, за яке саме відкриття призначається винагорода. DJI підтвердила, що здійснила компенсацію неназваному досліднику, як зазначає The Verge, проте її минулий спір з дослідником Кевіном Фіністерром у 2017 році викликає сумніви щодо того, чи буде Аздуфал нагороджений взагалі і наскільки оперативно будуть усунені прогалини в системі DJI.
Вся історія розпочалася на початку цього року, коли Семмі Аздуфал захотів керувати своїм роботизованим пилососом за допомогою чогось зручнішого, ніж екран смартфона. Для того, щоб керувати своїм DJI Romo за допомогою геймпада PS5, Аздуфалу довелося розробити спеціальний додаток-контролер, який використовував його токен безпеки для підтвердження пилососу, що саме він є власником пристрою. Щоб отримати цей токен, йому знадобилося взаємодіяти з хмарними серверами DJI та реверс-інжинірингом авторизаційного процесу, що він успішно зробив за допомогою інструменту для кодування на основі штучного інтелекту.
Як виявилося, замість того, щоб перевіряти доступ лише до одного робота, внутрішня система DJI надавала широкі права доступу до приблизно 7000 роботів-пилососів, розташованих у 24 країнах, разом із даними їхніх сенсорів та інформацією, що зберігалася в хмарі. Робот-пилосос DJI Romo є досить просунутим пристроєм, який оснащений не лише типовим набором датчиків, що зустрічаються в будь-якому автоматичному прибиральнику, а й камерою та мікрофоном. Внаслідок виявленої помилки в авторизації Аздуфал отримав доступ до 7000 потокових відеокамер з аудіо, а також міг навіть складати 2D-плани помешкань, що обслуговуються іншими DJI Romo.
Оскільки хмарна система DJI була доволі “щедрою”, вона також надала програмному спеціалісту IP-адреси цих домівок, що дозволяло йому припускати їхнє географічне розташування. Аздуфал наполягає, що він не “зламував” нічого, а просто зіткнувся з недосконалою серверною службою, яка не змогла належним чином обмежити доступ до пристроїв. На його користь свідчить той факт, що Семмі Аздуфал вирішив розкрити інформацію, а не зловживати нею, повідомивши про знахідку The Verge, яке, у свою чергу, зв’язалося з DJI, що дозволило компанії усунути проблему до середини лютого.
Згодом DJI заявила виданню Popular Science, що виявила вразливість під час внутрішнього аудиту наприкінці січня і швидко її виправила, при цьому не надавши жодних заслуг Семмі Аздуфалу. Проте, згідно з пізнішим матеріалом The Verge, компанія тепер також приписує заслугу в ідентифікації тієї ж проблеми двом незалежним дослідникам, але не надає подробиць щодо їхньої особи. Згідно з повідомленнями ЗМІ, початкове виправлення було автоматично розгорнуто 8 лютого, а 10 лютого відбулося друге оновлення, що передує оригінальній історії The Verge від 14 лютого, але очевидно слідує за відкриттям Семмі Аздуфала, яке, ймовірно, було зроблено раніше 8 лютого. DJI також повідомила, що від користувачів не вимагалося жодних дій і додала, що тривають додаткові вдосконалення безпеки, проте без розкриття будь-яких деталей.
