DJI виплатила $30 тис. інженеру, який випадково отримав досуп до 7 тисяч роботів-пилососів
Джерело: Cybernews
Інженер-програміст Семмі Аздуфал випадково отримав доступ до тисяч роботів-пилососів DJI по всьому світу, коли намагався під’єднати свій пристрій до пульта PlayStation 5. Після перевірки компанія DJI виплатила йому 30 тисяч доларів винагороди за виявлену вразливість.
За словами Аздуфала, він намагався знайти спосіб дистанційно керувати власним роботом-пилососом DJI Romo за допомогою геймпада PS5. Під час експерименту його застосунок для віддаленого керування почав взаємодіяти із серверами DJI. У результаті він випадково отримав доступ приблизно до 7 тисяч роботів-пилососів, розташованих у різних країнах.
Інженер зміг не лише керувати ними дистанційно. Він також мав доступ до відео з камер у режимі реального часу, міг спостерігати, як пристрої створюють карту приміщень під час прибирання, а також визначати їхнє приблизне місцезнаходження за IP-адресою.
Про свою знахідку Аздуфал повідомив The Verge, після чого історія швидко поширилася в мережі. Він наголосив, що не використовував жодних методів злому.
“Я не порушував жодних правил, не обходив захист, не зламував систему і не застосовував перебір паролів чи щось подібне”, – сказав він.
У DJI зазначили, що почали усувати частину пов’язаних із цим проблем безпеки ще до того, як інженер публічно розповів про знахідку. Попри це компанія виплатила йому 30 тисяч доларів за повідомлення про вразливість.
Згодом DJI опублікувала в блозі повідомлення про посилення безпеки робота-пилососа DJI Romo. У компанії пояснили, що проблема була пов’язана із застосунком DJI Home. Також виробник повідомив, що про цю вразливість майже одночасно повідомили “двоє незалежних дослідників безпеки” через програму винагород за знайдені помилки.
За даними компанії, необхідні оновлення вже розгорнуті, і користувачам не потрібно виконувати жодних додаткових дій. У DJI також заявили, що не мають доказів того, що дані користувачів були використані неналежним чином.
- Поліція Іспанії повідомила про успішне затримання 20-річного хакера, який знайшов спосіб жити у розкішних готелях Мадрида майже задарма. Завдяки кібератаці на систему валідації платежів, молодик переконував банківські сервіси, що номер вартістю 1000 євро оплачено повністю, хоча насправді списував лише один євроцент.
Вночі 18 червня підрозділи Сил оборони завдали уражень по низці ворожих об’єктів.
Президент України Володимир Зеленський прокоментував українські атаки по РФ та тимчасово окупованих територіях.
Генеральний секретар НАТО Марк Рютте повідомив, що президент України Володимир Зеленський візьме участь в засіданні Контактної групи з питань оборони України у форматі “Рамштайн”, яке відбудеться 18 червня.
Уночі 18 червня російські окупанти атакували Київську область. Не обійшлось без наслідків.
Нідерланди оголосили про новий пакет підтримки оборонного сектору України на загальну суму 500 млн євро. Кошти спрямують на механізм PURL та постачання безпілотників для Сил оборони України.