DJI заплатила $30 000 пользователю, случайно взломавшему 7000 роботов-пылесосов Romo

В феврале стало известно, что у роботов-пылесосов DJI Romo обнаружены несколько уязвимостей. Владелец такого устройства, пытаясь управлять им с помощью геймпада от Sony PlayStation, обнаружил целую сеть из 7000 дистанционно управляемых роботов, через которые можно было заглядывать в чужие дома. Производитель решил выплатить этому человеку вознаграждение в размере $30 000.

DJI выплатила обнаружившему уязвимость Сэмми Аздуфалю (Sammy Azdoufal) вознаграждение в размере $30 000, сообщила она ресурсу The Verge, но не упомянула имени этого человека и не уточнила, за выявление какой именно уязвимости перечислены средства. Сэмми Аздуфаль, в частности, обнаружил уязвимость, которая позволяет просматривать видеопоток с роботов-пылесосов DJI Romo без необходимости вводить PIN-код — эту ошибку производитель, по его собственному заявлению, устранил «к концу февраля».

Была, впрочем, обнаружена ещё одна уязвимость, более опасная, и о её природе СМИ сообщать не стали. DJI упомянула и про неё. «Мы также начали модернизацию всей системы. Она включает в себя серию обновлений, которые, как мы ожидаем, будут полностью развёрнуты в течение месяца», — отметили там. Компания опубликовала в своём блоге сообщение об усилении безопасности роботов-пылесосов Romo, отметила, что обнаружила проблемы самостоятельно, но поблагодарила «двух независимых исследователей в области безопасности» за проделанную работу.

В DJI напомнили, что Romo получил сертификаты безопасности ETSI, EU и UL, — и это поднимает вопросы об их истинной ценности, если один человек с помощью сервиса Claude Code пробился в сеть роботов-пылесосов. В компании заявили о своей «приверженности углубить взаимодействие с сообществом исследователей в области безопасности, и вскоре мы представим партнёрам новые способы взаимодействия с нами».