DJI va plăti 30.000 de dolari bărbatului care a hackuit accidental 7.000 de robovacs Romo
Pe 14 februarie, am adus în atenția publicului o poveste care a făcut înconjurul lumii: cum un bărbat, care încerca să controleze aspiratorul robot DJI cu un gamepad de PlayStation, a descoperit o întreagă rețea de 7.000 de roboți DJI care îi permit să spioneze în casele altora. Potrivit theverge.com, DJI a început să abordeze unele dintre vulnerabilitățile asociate înainte ca bărbatul, Sammy Azdoufal, să arate cât de multe putea accesa.
👉 Detalii despre recompensă și vulnerabilități
Nu era clar dacă DJI îi va plăti pentru descoperirea sa, mai ales având în vedere cum a tratat cercetătorul în securitate Kevin Finisterre în 2017. Cu toate acestea, azi avem unele răspunsuri. DJI îi va plăti lui Azdoufal 30.000 de dolari pentru o singură descoperire, conform unui email pe care acesta l-a împărtășit cu The Verge, fără a specifica despre ce descoperire este vorba.
Deși DJI nu dezvăluie numele lui Azdoufal, confirmă pentru The Verge că a „recompensat” un cercetător în securitate anonim pentru munca sa. DJI nu ne-a spus care descoperire îi plătește, dar afirmă că a rezolvat deja vulnerabilitatea suplimentară găsită de Azdoufal, unde cineva poate vizualiza un stream video de la DJI Romo fără a necesita un cod de securitate.
👉 Aplicația actualizărilor și angajamentul DJI
„Putem confirma că observația privind codul PIN a fost abordată până la sfârșitul lunii februarie”, se arată într-o declarație furnizată de purtătoarea de cuvânt DJI, Daisy Kong. Poate vă întrebați: ce se întâmplă cu vulnerabilitatea care părea atât de gravă încât ne-am refuzat să o descriem în povestea noastră originală? DJI îmi spune că lucrează și la aceasta: „Am început de asemenea să actualizăm întregul sistem. Acest lucru include o serie de actualizări, de care anticipăm că vor fi complet implementate în termen de o lună.”
DJI a publicat de asemenea, astăzi, un post pe blog despre întărirea securității DJI Romo, în care afirmă continuu că a descoperit problema inițială, în timp ce îi acordă credit „două cercetători de securitate independenți” pentru găsirea aceleași probleme. Acolo, DJI pare să sugereze că totul a fost deja rezolvat cu Romo: „Actualizările au fost implementate pentru a rezolva complet problema.”
Dar din nou, nu a existat doar o singură vulnerabilitate, iar DJI a spus pentru The Verge că ar putea dura și o lună în plus. În postarea de pe blog, DJI afirmă că Romo deja are certificări ETSI, UE și UL pentru securitate — ceea ce ar putea ridica întrebări despre cât de utile sunt, dacă o singură persoană cu codul Claude a putut accesa o rețea întreagă plină de robovacs! — și că va continua să testeze, să repare și să trimită Romo și aplicația sa auditurilor de securitate independente.
DJI scrie că este „angajată să aprofundeze colaborarea cu comunitatea de cercetare în securitate și că va introduce în curând modalități noi pentru cercetători de a colabora cu noi.”