Egy játékos ötletből nemzetközi adatvédelmi botrány lett. Sammy Azdoufal szoftvermérnök mindössze annyit szeretett volna, hogy a robotporszívóját egy PS5-ös kontrollerrel irányíthassa. A kísérletezés során azonban váratlan felfedezést tett. Hozzáférést szerzett több mint 7 ezer, világszerte működő robotporszívóhoz. Azdoufal a nemrég vásárolt DJI Romo készüléke és a gyártó szerverei közötti adatforgalmat elemezte, amikor egy biztonsági token nemcsak a saját eszközéhez, hanem az összes, globálisan működő DJI Romo porszívóhoz hozzáférést biztosított számára. A történtekről elsőként a The Verge számolt be.
A mérnök által fejlesztett alkalmazás három másodpercenként gyűjtötte be a robotok által küldött adatokat, köztük a sorozatszámokat, takarítási útvonalakat, töltöttségi állapotot és az észlelt akadályokra vonatkozó információkat. Azdoufal képes volt aktiválni a készülékek kameráit és mikrofonjait, valamint a rögzített térbeli adatok alapján rekonstruálni a tulajdonosok otthonának kétdimenziós alaprajzát is. Az IP-címek segítségével még a háztartások hozzávetőleges földrajzi helyét is meg tudta határozni. A súlyos biztonsági hiba így lényegében egy globális megfigyelőrendszert tett elérhetővé számára.
A DJI a megkeresést követően néhány napon belül javítást adott ki az érintett eszközökre. A cég szóvivője elismerte, hogy egy "backend jogosultság-ellenőrzési hiba" az MQTT-alapú kommunikációban elméletileg lehetővé tette illetéktelenek számára az élő videóhoz való hozzáférést. Azdoufal ugyanakkor jelezte, hogy további sebezhetőségek is fennmaradtak, amelyeket a vállalat ígérete szerint heteken belül orvosolnak. Az eset nem egyedülálló. 2024-ben az Ecovacs egyes robotporszívóinak feltörésével hekkerek kémkedtek a tulajdonosok után, sőt zaklatták is őket.
