DJI и 10 000 чужих квартир онлайн
Тысячи роботов-пылесосов DJI по всему миру внезапно стали «общими». История почти анекдотичная. Испанец Сэмми Аздуфаль просто хотел управлять своим пылесосом как в игре – подключил геймпад от PS5 и с помощью Claude от Anthropic покопался в коде мобильного приложения. И в какой-то момент сервер DJI «помог» ему больше, чем он просил.
Вместо одного устройства он получил доступ… примерно к 10 000 пылесосов по всему миру.
Что было доступно:
– камеры и микрофоны
– прямые трансляции
– серийные номера
– маршруты уборки
– карты квартир и домов
– данные о препятствиях
Фактически – цифровая планировка чужого жилья с видео и аудио.
Причина оказалась банальной и от этого ещё более пугающей.
Сервер обмена данными не различал устройства между собой. Авторизуешься своим токеном – и видишь чужие MQTT-потоки. TLS работал, но он шифрует канал связи, а не изолирует данные между клиентами. Классическая логическая уязвимость.
DJI сначала заявила, что всё исправлено.
Через полчаса исследователь показал, что доступ по-прежнему открыт.
Теперь важное. Это не «хакер-гений».
Это обычный пользователь с ИИ-ассистентом.
ИИ не взламывал ничего сверхсложного – он просто помог разобраться в коде быстрее, чем это сделал бы человек без подсказок. А вот архитектурная ошибка уже была внутри системы.
И здесь главный вывод.
Мы массово ставим в квартиры устройства:
– с камерами
– с микрофонами
– с картографией жилья
– с постоянным соединением с облаком
И всё это завязано на IoT-архитектуру, где одна логическая ошибка превращает «умный дом» в глобальный стриминг-сервис.
Цифровой суверенитет начинается не с лозунгов. Он начинается с банальной сегрегации данных и правильной авторизации. А иначе любой «энтузиаст с геймпадом» может случайно увидеть вашу кухню.
И это уже не смешно.
