Сэмми Адуфаль решил привязать свой робот-пылесос к контроллеру PlayStation. Для этого ему понадобилось разобраться в протоколе связи устройства. С помощью инструмента Claude Code он запросил токен доступа собственного пылесоса, но сервер производителя отдал ему совсем не те данные.
Источник изображения: DJI
Вместо авторизации для одного устройства система выдала ключи к 6700 роботам-пылесосам по всему миру. Выяснилось, что производитель хранил все токены в открытом виде на сервере. Адуфаль получил доступ к картам помещений, прямым видеотрансляциям с камер и микрофонам чужих устройств в США, Европе и Китае.
«Я не нарушал правил, не применял брутфорс и не обходил шифрование», — объяснил он The Verge. Проблема оказалась в том, что сервер сам отдал приватные данные, потому что они лежали без какой-либо дополнительной защиты.
Энтузиаст связался с DJI, и компания выпустила обновления. Но Адуфаль утверждает, что часть проблем осталась. Например, видеопоток с пылесоса до сих пор можно смотреть без PIN-кода. Он подчеркивает: дело не в шифровании каналов связи, а в том, что серверы производителя хранят пользовательские данные как открытую книгу.
Похожий случай был в прошлом году с пылесосами iLife. Тогда инженер обнаружил, что производитель удаленно заблокировал устройство пользователя после того, как тот запретил сбор телеметрии. Ситуация с DJI показывает ту же проблему: производители умной техники собирают слишком много данных, но не утруждают себя их защитой.