DJI виплатила $30 тис. інженеру, який випадково отримав досуп до 7 тисяч роботів-пилососів
Джерело: Cybernews
Інженер-програміст Семмі Аздуфал випадково отримав доступ до тисяч роботів-пилососів DJI по всьому світу, коли намагався під’єднати свій пристрій до пульта PlayStation 5. Після перевірки компанія DJI виплатила йому 30 тисяч доларів винагороди за виявлену вразливість.
За словами Аздуфала, він намагався знайти спосіб дистанційно керувати власним роботом-пилососом DJI Romo за допомогою геймпада PS5. Під час експерименту його застосунок для віддаленого керування почав взаємодіяти із серверами DJI. У результаті він випадково отримав доступ приблизно до 7 тисяч роботів-пилососів, розташованих у різних країнах.
Інженер зміг не лише керувати ними дистанційно. Він також мав доступ до відео з камер у режимі реального часу, міг спостерігати, як пристрої створюють карту приміщень під час прибирання, а також визначати їхнє приблизне місцезнаходження за IP-адресою.
Про свою знахідку Аздуфал повідомив The Verge, після чого історія швидко поширилася в мережі. Він наголосив, що не використовував жодних методів злому.
“Я не порушував жодних правил, не обходив захист, не зламував систему і не застосовував перебір паролів чи щось подібне”, – сказав він.
У DJI зазначили, що почали усувати частину пов’язаних із цим проблем безпеки ще до того, як інженер публічно розповів про знахідку. Попри це компанія виплатила йому 30 тисяч доларів за повідомлення про вразливість.
Згодом DJI опублікувала в блозі повідомлення про посилення безпеки робота-пилососа DJI Romo. У компанії пояснили, що проблема була пов’язана із застосунком DJI Home. Також виробник повідомив, що про цю вразливість майже одночасно повідомили “двоє незалежних дослідників безпеки” через програму винагород за знайдені помилки.
За даними компанії, необхідні оновлення вже розгорнуті, і користувачам не потрібно виконувати жодних додаткових дій. У DJI також заявили, що не мають доказів того, що дані користувачів були використані неналежним чином.
- Поліція Іспанії повідомила про успішне затримання 20-річного хакера, який знайшов спосіб жити у розкішних готелях Мадрида майже задарма. Завдяки кібератаці на систему валідації платежів, молодик переконував банківські сервіси, що номер вартістю 1000 євро оплачено повністю, хоча насправді списував лише один євроцент.
В індійському штаті Одіша чоловік приніс до банку рештки скелета сестри для підтвердження її смерті. Про випадок заговорили після того, як відео з місця події розійшлося мережею і викликало обурення.
Журналісти дослідили, як Росія залучає українських підлітків з тимчасово окупованих територій до мілітаризованої медіапрограми “Юнкор”, що працює під егідою “Юнармії”. Розслідування підготували KibOrg, OCCRP, The Kyiv Independent, “Суспільне Новини” та 24 Канал.
Дослідники розробили інструмент, який допомагає визначати ризик захворювань, пов’язаних з ожирінням, і може використовуватися для відбору людей, яким найбільше підходять препарати для зниження ваги.
Головне управління розвідки Міністерства оборони України оприлюднило нові дані про баражуючий боєприпас “Клин”.
Колумбійська співачка Шакіра дала безкоштовний концерт на пляжі Копакабана в Ріо-де-Жанейро.