Post #4916

Армия шваброидов Тысячи роботов-пылесосов DJI по всему миру (((случайно))) оказались под контролем обычного пользователя, экспериментирующего с нейросетями. Всё началось с того, что испанец Сэмми Аздуфаль забавы ради решил подключить своего нового помощника по дому к геймпаду от PlayStation 5, чтобы управлять им как в игре. С помощью ИИ-ассистента Claude от Anthropic он изучил код мобильного приложения и создал свою программу. Во время её запуска сервер компании DJI по ошибке открыл доступ не к одному пылесосу, а сразу к 10 тысячам устройств по всему миру. Энтузиаст мог подключаться к камерам и микрофонам, следить за трансляциями, видеть серийные номера, маршруты уборки, сведения о препятствиях, а также точные карты чужих квартир и домов. Всему виной глупая ошибка в безопасности. Сервер DJI для обмена данными не различал роботы друг от друга. При попытке войти под токеном своего пылесоса пользователь видит потоки с чужих гаджетов. Шифрование TLS при этом работает, однако защищает оно только саму связь, а не данные от других авторизованных пылесосов. Стараясь обелиться, представители DJI закопали себя ещё больше, заявив, что уязвимость уже устранена. Через полчаса после этих слов исследователь доказал обратное, показав, что чужие устройства всё ещё доступны. НеКасперский