Mannen som hacket 7000 robotstøvsugere får 30.000 dollar

Oppdaget ved et uhell at han kunne kikke inn i fremmedes hjem.

Det hele startet i februar da Sammy Azdoufal forsøkte å styre sin DJI Romo-robotstøvsuger med en PlayStation-kontroller.

Men i stedet for å bare få tilgang til å styre sin egen robotstøvsuger, oppdaget han at han hadde tilgang til et helt nettverk av 7000 fjernstyrte DJI-robotstøvsugere – og kunne se videostrømmen fra andre folks hjem.

Ifølge en e-post Azdoufal har delt med The Verge, får han 30.000 dollar fra DJI, rundt 290.000 norske kroner, for å ha oppdaget én sårbarhet, men vil ikke si hvilken. DJI navngir ikke Azdoufal, men bekrefter overfor The Verge at de har «belønnet» en sikkerhetsforsker for arbeidet.

DJI vil heller ikke si hvilken sårbarhet de betaler for, men bekrefter at de allerede har fikset problemet med at man kunne se videostrømmen fra en Romo-støvsuger uten å taste inn en PIN-kode.

I tillegg fant Azdoufal en sårbarhet som The Verge anså som så alvorlig at de ikke ville beskrive den i sin opprinnelige artikkel. DJI opplyser at de jobber med å fikse også denne, og at det kan ta opptil én måned.

I et blogginnlegg hevder DJI at de selv oppdaget det opprinnelige problemet gjennom interne sikkerhetsgjennomganger i slutten av januar, men krediterer også «to uavhengige sikkerhetsforskere» for å ha funnet det samme problemet.