Компанія-виробник роботів-пилососів виплатила $30 тисяч користувачу, який випадково зламав 6700 таких пристроїв

Компанія DJI виплатила 30 тисяч доларів користувачу, який випадково виявив серйозну вразливість у системі роботів-пилососів Romo robot vacuum. Про інцидент передають Патріоти України з посиланням на видання The Verge.

Подія сталася в середині лютого. Користувач на ім’я Sammy Azdufal намагався налаштувати власний пилосос так, щоб керувати ним за допомогою геймпада від PlayStation.

Під час підключення до серверів компанії він несподівано отримав доступ не лише до свого пристрою. Виявилося, що система дозволяє під’єднатися до інших роботів-пилососів і навіть переглядати відео з їхніх камер.

Загалом користувач зміг отримати доступ до мережі приблизно з 6700 пристроїв Romo.

Після повідомлення про проблему компанія DJI зв’язалася з дослідником електронною поштою та повідомила про виплату винагороди. При цьому представники компанії не уточнили, за яку саме знахідку призначена премія. Водночас у коментарі для The Verge підтвердили, що дослідник кібербезпеки дійсно отримав винагороду.

За словами представниці DJI Daisy Kong, вразливість, яка дозволяла переглядати відеопотік з пилососів без введення PIN-коду, вже усунули. Проблему ліквідували наприкінці лютого.

У компанії також заявили, що працюють над масштабним оновленням програмного забезпечення для всієї системи Romo. Очікується, що цей процес завершиться протягом найближчого місяця.

У своєму блозі DJI зазначила, що саме її інженери першими виявили проблему, однак також подякувала «двом незалежним дослідникам безпеки», які повідомили про ту саму вразливість.

Компанія наголосила, що роботи-пилососи Romo мають сертифікації безпеки ETSI, EU та UL, однак інцидент все ж викликав дискусії щодо ефективності таких перевірок.

Після цього випадку DJI пообіцяла посилити тестування своїх продуктів, залучити незалежних аудиторів до перевірки безпеки та розширити співпрацю з експертами у сфері кібербезпеки.