DJI виплатила $30 тис. інженеру, який випадково отримав досуп до 7 тисяч роботів-пилососів
Джерело: Cybernews
Інженер-програміст Семмі Аздуфал випадково отримав доступ до тисяч роботів-пилососів DJI по всьому світу, коли намагався під’єднати свій пристрій до пульта PlayStation 5. Після перевірки компанія DJI виплатила йому 30 тисяч доларів винагороди за виявлену вразливість.
За словами Аздуфала, він намагався знайти спосіб дистанційно керувати власним роботом-пилососом DJI Romo за допомогою геймпада PS5. Під час експерименту його застосунок для віддаленого керування почав взаємодіяти із серверами DJI. У результаті він випадково отримав доступ приблизно до 7 тисяч роботів-пилососів, розташованих у різних країнах.
Інженер зміг не лише керувати ними дистанційно. Він також мав доступ до відео з камер у режимі реального часу, міг спостерігати, як пристрої створюють карту приміщень під час прибирання, а також визначати їхнє приблизне місцезнаходження за IP-адресою.
Про свою знахідку Аздуфал повідомив The Verge, після чого історія швидко поширилася в мережі. Він наголосив, що не використовував жодних методів злому.
“Я не порушував жодних правил, не обходив захист, не зламував систему і не застосовував перебір паролів чи щось подібне”, – сказав він.
У DJI зазначили, що почали усувати частину пов’язаних із цим проблем безпеки ще до того, як інженер публічно розповів про знахідку. Попри це компанія виплатила йому 30 тисяч доларів за повідомлення про вразливість.
Згодом DJI опублікувала в блозі повідомлення про посилення безпеки робота-пилососа DJI Romo. У компанії пояснили, що проблема була пов’язана із застосунком DJI Home. Також виробник повідомив, що про цю вразливість майже одночасно повідомили “двоє незалежних дослідників безпеки” через програму винагород за знайдені помилки.
За даними компанії, необхідні оновлення вже розгорнуті, і користувачам не потрібно виконувати жодних додаткових дій. У DJI також заявили, що не мають доказів того, що дані користувачів були використані неналежним чином.
- Поліція Іспанії повідомила про успішне затримання 20-річного хакера, який знайшов спосіб жити у розкішних готелях Мадрида майже задарма. Завдяки кібератаці на систему валідації платежів, молодик переконував банківські сервіси, що номер вартістю 1000 євро оплачено повністю, хоча насправді списував лише один євроцент.
Держсекретар США Марко Рубіо 14 квітня проведе у Вашингтоні зустріч за участі послів Ізраїлю та Лівану з метою започаткування прямих переговорів щодо припинення вогню на Близькому Сході.
Вранці 14 квітня у Броварах на Київщині пролунав вибух. Поранень зазнав чоловік.
Міністерка енергетики Філіппін Шарон Гарін закликала США продовжити дозвіл на купівлю російської нафти і нафтопродуктів.
У Великій Британії чоловік скоїв самогубство після візиту до стоматології у Туреччині, після якого він залишився без зубів.
Уночі 14 квітня Одеська область опинилась під масованою російською атакою. Не обійшлось без наслідків.