Випадково натрапив на закладений виробником шпигунський канал: Чоловік захопив управління над 7000 роботами-пилососами по всьому світові, покопирсавшись у своєму

Користувач хотів лише керувати власним роботом-пилососом DJI Romo через контролер PS5, але через помилку в серверній інфраструктурі компанії отримав доступ до тисяч пристроїв по всьому світу, передають Патріоти України.

Після підключення геймпада застосунок звернувся до серверів виробника. Через некоректну перевірку прав доступу токен одного пристрою фактично сприймався як універсальний ключ.

У результаті чоловік побачив не тільки свій пилосос, а й майже 7000 інших у 24 країнах.

Він міг:

• керувати пристроями,
• переглядати відео з камер,
• слухати звук із мікрофонів,
• бачити IP-адреси та приблизне місцезнаходження,
• отримувати мапи приміщень,
• відстежувати рівень заряду та активність.

За дев’ять хвилин система виявила 6700 пристроїв і зібрала понад 100 тисяч повідомлень. Якщо врахувати також електростанції DJI Power, кількість потенційно доступних девайсів могла сягати 10 тисяч.

За словами користувача, він не використовував жодних інструментів злому — лише витягнув токен свого пристрою.

Проблема полягала в сервері MQTT: механізм перевірки дозволів був налаштований некоректно. Через це внутрішній доступ до даних інших користувачів не був належно ізольований.

Компанія DJI підтвердила наявність вразливості та випустила два патчі — 8 і 10 лютого. Доступ до камер і мікрофонів було обмежено, а помилку — закрито. За заявою компанії, «фактичні випадки були надзвичайно рідкісними».

Цей випадок демонструє, скільки чутливих даних збирають сучасні «розумні» пристрої:

• плани житла,
• інформацію про пересування,
• відео та аудіо з дому,
• серійні номери та мережеві дані.

Навіть якщо трафік захищений TLS-шифруванням, помилка на рівні серверної логіки може зробити систему вразливою.

Користувач також заявив, що деякі проблеми залишаються невиправленими — зокрема, можливість перегляду власного відеопотоку без PIN-коду. Ще одну вразливість він не розголошує, щоб дати виробнику час на її усунення.

Інцидент став черговим нагадуванням: безпека IoT-пристроїв залежить не лише від шифрування, а й від правильної архітектури доступу та перевірки прав користувачів.