DJI платит за найденную дыру

Компания DJI, крупнейший мировой производитель дронов и робототехники, оказалась в центре удивительной истории, которая началась с самого безобидного намерения. Один пользователь — не исследователь кибербезопасности, не хакер, а обычный человек по имени Сэмми Аздуфал — решил подключить свой робот‑пылесос DJI к геймпаду от PlayStation. Хотелось поуправлять домашним помощником, словно машинкой на радиоуправлении. Но вместо забавы он наткнулся на дыру размером с дверь в серверную.

Попытка настроить управление обернулась тем, что Сэмми случайно получил доступ к сети из примерно 7000 роботов‑пылесосов той же серии. Эти устройства оснащены камерами и функциями удалённого доступа — так что теоретически он мог заглянуть в тысячи чужих квартир. Не по злому умыслу, а просто потому, что система безопасности оказалась куда слабее, чем стоило ожидать от компании такого уровня.

DJI, как выяснилось, уже работала над устранением части уязвимостей ещё до того, как Сэмми показал журналистам масштаб потенциальной проблемы. Но оставался открытым вопрос: как компания отреагирует на находку. Ведь в 2017 году DJI уже прославилась конфликтом с исследователем Кевином Финнистерром — тот тоже нашёл критическую дыру, но вместо благодарности получил угрозы и давление.

Сейчас, похоже, компания решила не повторять старых ошибок. DJI официально признала вклад Сэмми и выплатила ему 30 тысяч долларов по программе вознаграждений за найденные уязвимости. Нарушений со стороны Сэмми компания не увидела — он действовал добросовестно, сообщил о проблеме и не пытался использовать доступ во вред.

DJI также заверила, что продолжает исправлять оставшиеся проблемы безопасности и обновляет прошивки роботов, чтобы подобное больше не повторялось. История, начавшаяся с попытки поиграть с пылесосом, обернулась не только глобальным обсуждением безопасности «умных» устройств, но и редким случаем, когда корпорация выбирает путь сотрудничества, а не конфронтации.