Специалист по искусственному интеллекту из Барселоны приобрел робот-пылесос DJI Romo и решил кастомизировать его под свои нужды. Используя инструмент Claude Code, он создал приложение, которое должно было позволить управлять устройством с джойстика.
Однако при подключении к облачным серверам DJI произошло неожиданное: система восприняла его локальный ключ доступа как универсальный «мастер-ключ», открыв шлюз к данным тысяч других владельцев по всему миру.
В течение нескольких минут приложение Аздуфаля собрало более 100 тысяч сообщений с устройств в 24 странах. Инженер получил доступ к потоковому видео с камер, микрофонам, подробным картам помещений, данным о местоположении (через IP-адреса) и техническому состоянию пылесосов.
В качестве демонстрации он, зная лишь 14-значный серийный номер устройства журналиста The Verge, построил точную карту его квартиры и увидел, что робот в данный момент убирает гостиную.
Сам Аздуфал подчеркивает, что не взламывал серверы и не применял грубую силу — он лишь использовал данные со своего собственного пылесоса, а ошибка крылась в архитектуре серверов DJI.
«Я не нарушал никаких правил, ничего не обходил и не взламывал. Мое устройство было просто одним из множества в океане других», — пояснил он.
Проблема заключалась в неверной проверке прав доступа на стороне бэкенда: сервер ошибочно считал любой авторизованный токен действительным для всех устройств.
Компания DJI оперативно отреагировала на уведомление инженера и прессы. В официальном заявлении производитель подтвердил, что выявил уязвимость в конце января и выпустил два обновления — 8 и 10 февраля, которые автоматически устранили проблему на всех устройствах.
Эксперты по кибербезопасности отмечают, что этот случай — тревожный сигнал для всей индустрии умного дома, где погоня за инновациями часто опережает базовые требования безопасности. Сам Аздуфал признался, что после инцидента его жена заклеила камеру на их собственном пылесосе.
Ранее в Испании провели первую в мире пересадку лица от донора после эвтаназии.