In wat misschien wel het meest spectaculaire eigen doelpunt in de recente geschiedenis van IoT-beveiliging is, kreeg een software-engineer per ongeluk ‘god-mode’ toegang tot zo’n 7.000 DJI-robotstofzuigers verspreid over 24 landen. Onderzoeker Sammy Azdoufal was helemaal niet uit op een robot-opstand; hij wilde simpelweg zijn nieuwe, absurd dure DJI Romo-stofzuiger besturen met een PlayStation 5-controller. Want ja, waarom ook niet?
Om deze moderne droom te verwezenlijken, gebruikte Azdoufal een AI-coding assistant om de communicatieprotocollen van de robot te reverse-engineeren. Nadat hij de authenticatietoken van zijn eigen apparaat had bemachtigd, maakte hij verbinding met de servers van DJI. Maar in plaats van een reactie van zijn eigen vloerschrobbende hulpje, gaf een leger van ongeveer 7.000 robots gehoor aan de oproep. Door dit lek kreeg hij toegang tot live camera- en microfoonfeeds, real-time 2D-plattegronden van woningen en de apparaatstatus van duizenden nietsvermoedende eigenaren.
De kern van het probleem was een komisch eenvoudige, maar catastrofale blunder in de beveiliging. De backend-servers van DJI controleerden wel of het token van de gebruiker geldig was, maar vergaten de cruciale volgende stap: controleren of de gebruiker de specifieke robot die hij probeerde aan te roepen wel echt bezat. Elke geldige sleutel paste op elk slot ter wereld. Azdoufal merkte op dat hij “geen regels overtrad, niets omzeilde, niets kraakte of met brute force forceerde.” Hij liep simpelweg door een digitale deur die wagenwijd openstond.
Waarom is dit belangrijk?
Dit incident is een schoolvoorbeeld van de gevaren van moderne IoT-beveiliging. Apparaten die letterlijk in onze huiskamers meekijken en meeluisteren, zijn soms beveiligd met het digitale equivalent van een hordeur. Hoewel de potentie voor een gigantische, wereldwijde inbreuk op de privacy enorm was, deed Azdoufal het enige juiste en meldde hij de kwetsbaarheid direct bij de fabrikant.
DJI reageerde gelukkig indrukwekkend snel. Na de melding dichtte het bedrijf het lek binnen twee dagen met een server-side fix, waardoor gebruikers zelf geen actie hoefden te ondernemen. Hoewel de vraag blijft hoe zo’n fundamentele fout ooit de productiefase heeft kunnen bereiken, voorkwam de snelle reactie een potentieel drama. Het is een harde les voor andere IoT-fabrikanten: doe je deuren op slot, en controleer vooral of de sleutels van je klanten niet toevallig op de hele buurt passen.
