30 000 долларов за находчивость

Неожиданное открытие

Испанский программист Сэмми Аздуфаль вовсе не планировал становиться кибердетективом. Он просто хотел сделать управление своим роботом‑пылесосом DJI Romo чуть удобнее — и решил подключить к нему геймпад от PlayStation. Эксперимент обернулся серьёзным технологическим прорывом — правда, не совсем тем, на который рассчитывал энтузиаст. В процессе настройки Аздуфаль обнаружил аномалию: система позволяла подключиться не только к его собственному устройству. Через API пылесоса Сэмми Аздуфаль смог получить доступ к целой сети из 7 000 аналогичных роботов, подключённых к сервисам DJI. 

Уязвимость, обнаруженная Аздуфалем, таила в себе сразу несколько серьёзных угроз. Через API можно было отдавать команды тысячам пылесосов, меняя их маршрут или заставляя выполнять произвольные действия. Кроме того, поскольку роботы‑пылесосы строят карту помещения для навигации, эта информация тоже попадала в зону риска. Злоумышленник мог не просто увидеть обстановку в квартире, но и детально изучить её планировку. По сути, каждое устройство превращалось в инструмент слежки, причём особенно опасный из‑за своей мобильности: пылесосы постоянно перемещаются по дому, обновляя картинку и собирая новые данные.

Но самое главное — уязвимость давала возможность просматривать видеопоток с камер устройств без ввода PIN‑кода.

Вместо того чтобы воспользоваться обнаруженной брешью в корыстных целях, Аздуфаль поступил как «белый» хакер: он сообщил о проблеме производителю. Компания DJI оценила поступок исследователя и выплатила ему вознаграждение в размере $30 000 (около 2,4 миллиона рублей) в рамках программы Bug bounty.

Эта программа — распространённая практика среди крупных технологических компаний. Её суть проста: эксперты по кибербезопасности ищут уязвимости в продуктах фирмы и сообщают о них до того, как ими воспользуются злоумышленники. За каждую найденную и подтверждённую проблему исследователь получает денежное вознаграждение. Чем серьёзнее уязвимость, тем выше выплата.

Реакция DJI

Компания не ограничилась одной выплатой. После получения информации от Аздуфаля инженеры DJI оперативно взялись за работу. Уже к концу февраля была закрыта уязвимость с доступом к видеопотоку без PIN‑кода — это стало первым и самым срочным шагом. Затем стартовала масштабная модернизация всей системы безопасности линейки Romo, затронувшая сразу несколько направлений. Специалисты начали обновление серверной инфраструктуры и пересмотрели протоколы шифрования, чтобы повысить уровень защиты данных. Особое внимание уделили механизмам аутентификации устройств: их доработали, чтобы исключить подобные уязвимости в будущем. Полное внедрение исправлений, по оценкам экспертов, займёт около месяца. Все подключённые пылесосы получат необходимые патчи автоматически, без каких‑либо действий со стороны владельцев.

Помимо технических мер, в DJI заявили о планах расширить программу Bug bounty и наладить более тесное взаимодействие с экспертным сообществом. Производитель намерен увеличить размер вознаграждений за обнаружение критических уязвимостей, сделать процесс подачи отчётов об ошибках более удобным и прозрачным. Кроме того, компания планирует регулярно привлекать независимых аудиторов для проверки безопасности своих устройств — это позволит выявлять слабые места ещё до того, как они станут проблемой для пользователей.

Раньше многие бренды воспринимали хакеров как угрозу, опасаясь утечек и скандалов. Сегодня же они создают специальные программы, чтобы привлекать этих специалистов на свою сторону. Производители получают возможность выявлять уязвимости на ранних стадиях, предотвращать масштабные утечки данных и оперативно устранять слабые места в своих продуктах.

Как защитить «умный дом»?

Инцидент с роботами‑пылесосами — тревожный сигнал для владельцев любой «умной» техники. Чем больше устройств подключается к интернету, тем шире становится поверхность атаки для киберпреступников. Чтобы снизить риски, эксперты рекомендуют:

• регулярно обновлять прошивки всех гаджетов — производители часто выпускают патчи для устранения уязвимостей;
• устанавливать сложные PIN‑коды и пароли, избегая очевидных комбинаций;
• отключать удалённый доступ, если он не нужен для повседневной работы устройства;
• следить за официальными уведомлениями от бренда — иногда обновления требуют ручного запуска;
• проверять настройки приватности: убедиться, что камеры и микрофоны активируются только по команде пользователя.

Подготовлено по материалам с сайта: https://club.dns-shop.ru/digest/167533-dji-zaplatila-hakeru-30-000-za-vzlom-7000-robotov-pyilesosov-kom/

10 просмотров · 10.03.2026

хакер, PINкод, DJI, bug bounty, Умный дом, DJI Romo, защита данных, уязвимость, кибербезопасность, видеопоток, роботпылесос, Сэмми Аздуфаль