DJI виплатить $30 000 чоловікові, який виявив критичну вразливість у хмарній інфраструктурі компанії. Ця помилка надавала йому доступ до парку з близько 7 000 роботів-пилососів і дозволяла зазирнути до чужих будинків.
DJI виплатить $30 000 чоловікові, який виявив критичну вразливість у хмарній інфраструктурі компанії. Ця помилка надавала йому доступ до парку з близько 7 000 роботів-пилососів і дозволяла зазирнути до чужих будинків.
Інженер-програміст отримав лист про винагороду від компанії DJI після того, який виявив вразливість, коли захотів керувати своїм роботом-пилососом за допомогою контролера від PS5, пише The Verge.
DJI погодилася виплатити йому $30 000 за одне з його відкриттів, хоча компанія не уточнила, за яке саме. За даними The Verge, DJI підтвердила факт виплати винагороди досліднику, чиє ім’я офіційно не називають.
Усе почалося на початку цього року, коли айтівець захотів керувати своїм роботом-пилососом за допомогою чогось зручнішого, ніж екран смартфона.
Щоб керувати своїм DJI Romo за допомогою геймпада від PS5, чоловік розробив власний застосунок-контролер, який використовував його токен безпеки для підтвердження права власності на пристрій перед роботом-пилососом.
Для отримання цього токена йому довелося працювати з хмарними серверами DJI, щоб шляхом зворотної розробки відтворити процес авторизації, що він успішно зробив за допомогою ШІ-інструменту для написання коду.
Як виявилося, замість перевірки доступу лише до одного робота, бекенд DJI надав йому широкі права доступу до близько 7 000 роботів-пилососів у 24 країнах, разом із даними їхніх датчиків та інформацією, що зберігалася в хмарі.
