DJI виплатила $30 тис. інженеру, який випадково отримав досуп до 7 тисяч роботів-пилососів
Джерело: Cybernews
Інженер-програміст Семмі Аздуфал випадково отримав доступ до тисяч роботів-пилососів DJI по всьому світу, коли намагався під’єднати свій пристрій до пульта PlayStation 5. Після перевірки компанія DJI виплатила йому 30 тисяч доларів винагороди за виявлену вразливість.
За словами Аздуфала, він намагався знайти спосіб дистанційно керувати власним роботом-пилососом DJI Romo за допомогою геймпада PS5. Під час експерименту його застосунок для віддаленого керування почав взаємодіяти із серверами DJI. У результаті він випадково отримав доступ приблизно до 7 тисяч роботів-пилососів, розташованих у різних країнах.
Інженер зміг не лише керувати ними дистанційно. Він також мав доступ до відео з камер у режимі реального часу, міг спостерігати, як пристрої створюють карту приміщень під час прибирання, а також визначати їхнє приблизне місцезнаходження за IP-адресою.
Про свою знахідку Аздуфал повідомив The Verge, після чого історія швидко поширилася в мережі. Він наголосив, що не використовував жодних методів злому.
“Я не порушував жодних правил, не обходив захист, не зламував систему і не застосовував перебір паролів чи щось подібне”, – сказав він.
У DJI зазначили, що почали усувати частину пов’язаних із цим проблем безпеки ще до того, як інженер публічно розповів про знахідку. Попри це компанія виплатила йому 30 тисяч доларів за повідомлення про вразливість.
Згодом DJI опублікувала в блозі повідомлення про посилення безпеки робота-пилососа DJI Romo. У компанії пояснили, що проблема була пов’язана із застосунком DJI Home. Також виробник повідомив, що про цю вразливість майже одночасно повідомили “двоє незалежних дослідників безпеки” через програму винагород за знайдені помилки.
За даними компанії, необхідні оновлення вже розгорнуті, і користувачам не потрібно виконувати жодних додаткових дій. У DJI також заявили, що не мають доказів того, що дані користувачів були використані неналежним чином.
- Поліція Іспанії повідомила про успішне затримання 20-річного хакера, який знайшов спосіб жити у розкішних готелях Мадрида майже задарма. Завдяки кібератаці на систему валідації платежів, молодик переконував банківські сервіси, що номер вартістю 1000 євро оплачено повністю, хоча насправді списував лише один євроцент.
Під час масованої російської атаки на Київ ракета пробила підземний паркінг житлового комплексу Trinity у Печерському районі. На відео з місця видно пошкоджені конструкції та згорілі автомобілі.
Дональд Трамп заявив, що можлива угода США з Іраном буде “хорошою й правильною”. Разом з тим він розкритикував домовленість часів Барака Обами та наголосив, що новий документ ще не повністю узгоджений.
Розслідування щодо Ендрю Маунтбеттена-Віндзора виявилося ширшим, ніж вважалося раніше. Поліція перевіряє не лише можливе передання конфіденційної інформації Джеффрі Епштейну, а й yjds заяви про сексуальну неправомірну поведінку.
Турецька поліція силою увійшла до штаб-квартири Республіканської народної партії в Анкарі після рішення суду про усунення її лідера Озґюра Озеля. Біля будівлі застосували сльозогінний газ, а прихильники партії намагалися заблокувати входи.
Китай запустив корабель Shenzhou-23 із трьома астронавтами на борту до станції Tiangong. Один із членів екіпажу має залишитися в космосі на рік – це буде рекордний термін для китайської програми.