Компания DJI намерена выплатить 30 000 долларов США инженеру-программисту, обнаружившему существенную уязвимость в её облачной системе, которая предоставляла доступ к флоту из приблизительно 7000 роботов-пылесосов и потенциально обеспечивала возможность наблюдения за жилищами пользователей. Издание The Verge проинформировало о том, что компания направила электронное письмо Сэмми Аздуфалу, который изначально стремился лишь управлять своим роботом-пылесосом DJI Romo с помощью контроллера PS5, уведомляя его о вознаграждении, однако не разъяснив конкретных оснований для принятия подобного решения. Этот инцидент привлек внимание общественности к вопросам безопасности данных и приватности в контексте использования умных бытовых устройств.
Представители DJI утверждают, что компания приступила к устранению ряда недостатков в своих внутренних системах ещё до того, как Аздуфал продемонстрировал масштаб обнаруженного им доступа, однако вопросы, касающиеся вознаграждения и скорости исправления, остаются открытыми. Согласно электронному письму, предоставленному Аздуфалом изданию The Verge, DJI выразила согласие выплатить ему 30 000 долларов США за одно из его открытий, при этом компания не уточнила, за какое именно обнаружение предназначено это вознаграждение. DJI также подтвердила факт выплаты компенсации некоему неназванному исследователю, согласно публикации The Verge, однако предыдущий спор компании с исследователем Кевином Финистерром в 2017 году порождает определённые сомнения относительно как фактической выплаты вознаграждения Аздуфалу, так и оперативности устранения выявленных уязвимостей в системе DJI.
Эта история началась в начале текущего года, когда Сэмми Аздуфал выразил желание управлять своим роботизированным пылесосом с помощью устройства, которое было бы удобнее экрана смартфона. С целью обеспечения управления своим DJI Romo посредством геймпада PS5, Аздуфалу потребовалось разработать специализированное приложение-контроллер, использующее его токен безопасности для подтверждения пылесосу его статуса владельца устройства. Для получения этого токена ему необходимо было взаимодействовать с облачными серверами DJI, а также осуществить реверс-инжиниринг процесса авторизации, что ему успешно удалось выполнить при содействии инструмента для кодирования, основанного на искусственном интеллекте.
Как выяснилось, внутренняя система DJI, вместо того чтобы проверять доступ только к одному роботу, предоставляла широкие права доступа к приблизительно 7000 роботов-пылесосов, расположенных в 24 странах, а также к данным их сенсоров и информации, хранящейся в облаке. Робот-пылесос DJI Romo представляет собой достаточно продвинутое устройство, оснащённое не только стандартным набором датчиков, присущих любому автоматическому уборщику, но также интегрированной камерой и микрофоном. Вследствие выявленной ошибки в авторизации Аздуфал получил доступ к потокам с 7000 видеокамер с аудиозаписью и даже мог составлять двухмерные планы помещений, которые обслуживались другими устройствами DJI Romo.
Поскольку облачная система DJI обладала весьма обширными возможностями, она также предоставила программному специалисту IP-адреса этих домов, что позволило ему определять их предположительное географическое расположение. Аздуфал настаивает на том, что он не осуществлял «взлом» систем, а лишь обнаружил несовершенство серверной службы, которая оказалась неспособна должным образом ограничить доступ к устройствам. В его пользу свидетельствует тот факт, что Сэмми Аздуфал принял решение раскрыть полученную информацию, а не использовать её со злонамеренными целями, уведомив о находке издание The Verge, которое, в свою очередь, установило контакт с DJI, что позволило компании оперативно устранить выявленную проблему к середине февраля.
Впоследствии DJI заявила изданию Popular Science, что обнаружила данную уязвимость в ходе внутреннего аудита в конце января и оперативно её устранила, при этом не признав никаких заслуг Сэмми Аздуфала. Однако, согласно более позднему материалу The Verge, компания теперь также приписывает заслугу в идентификации той же проблемы двум независимым исследователям, но при этом не предоставляет подробностей относительно их личности. По сообщениям средств массовой информации, первоначальное исправление было автоматически развёрнуто 8 февраля, а 10 февраля последовало второе обновление, которое предшествует оригинальной статье The Verge от 14 февраля, но, очевидно, произошло после обнаружения Сэмми Аздуфалом, которое, вероятно, было сделано до 8 февраля. DJI также сообщила, что от пользователей не требовалось никаких действий, и добавила, что продолжаются дополнительные усовершенствования безопасности, однако без раскрытия каких-либо деталей относительно их характера.
