DJI ha pagato 30 mila dollari a una persona che, per errore, aveva hackato 7 000 robot‑aspirapolvere Romo

Breve cronologia: vulnerabilità DJI Romo e reazione del produttore

Fase | Cosa è successo | Reazione dell’azienda
Febbraio – scoperta dei problemi | I proprietari di robot‑aspirapolvere DJI Romo hanno riscontrato diverse criticità. Un utente, cercando di controllare il dispositivo tramite un gamepad Sony PlayStation, ha notato una rete di 7000 robot remoti che aprivano l’accesso ai flussi video delle case altrui. | DJI ha annunciato l’intenzione di offrire una ricompensa per la scoperta della vulnerabilità.
Riconoscimento pubblico | Nel comunicato The Verge si indica che un utente di nome *Sammy Azdoufal* ha ricevuto 30 000 USD. Tuttavia, l’azienda non ha divulgato i dettagli specifici dell’anomalia né menzionato il nome nei documenti ufficiali. DJI ha sottolineato che la vulnerabilità permetteva di guardare il flusso video senza inserire un PIN; la correzione è stata implementata entro fine febbraio.
Scoperta di un problema più grave | Una delle anomalie riscontrate si è rivelata potenzialmente più pericolosa, ma i dettagli non sono stati divulgati ai media. Nel blog ufficiale l’azienda ha annunciato piani di “modernizzazione dell’intero sistema” e ha avviato una serie di aggiornamenti che dovrebbero essere completamente distribuiti entro un mese.
Ringraziamento agli ricercatori | DJI ha notato che i problemi sono stati scoperti in modo indipendente, ma ha espresso gratitudine a due esperti di sicurezza indipendenti per il loro contributo. L’azienda ha sottolineato l’impegno nel collaborare con la comunità dei ricercatori e ha promesso di presentare nuove modalità di collaborazione a breve.
Certificati e questioni di affidabilità | DJI ha ricordato che Romo ha ottenuto certificati ETSI, UE e UL. Tuttavia, una persona è riuscita a bypassare il sistema di sicurezza tramite il servizio Claude Code, sollevando dubbi sull’efficacia reale di tali certificati. Nel comunicato aziendale si evidenzia l’“impegno ad approfondire la collaborazione con la comunità dei ricercatori in materia di sicurezza”.

Conclusioni:

DJI ha pagato 30 000 USD all’utente che ha scoperto una vulnerabilità nel flusso video di Romo. Parallelamente, l’azienda ha avviato un ampio lavoro di aggiornamento e rafforzamento della protezione dei suoi robot‑aspirapolvere, riconoscendo al contempo la necessità di una collaborazione più stretta con i ricercatori indipendenti di sicurezza. Nonostante la presenza di certificati ETSI, UE e UL, il fatto di aver penetrazione in una rete di 7000 dispositivi solleva interrogativi sulla reale affidabilità delle misure di protezione implementate.