TLDR;

Um homem comprou um robô DJI de US$ 2.000, criou seu próprio app e descobriu que todos usam o mesmo token de autenticação, acessando instantaneamente 7.000 outros robôs em 24 países. Esses robôs forneciam visibilidade 24 horas dentro de casas, incluindo mapeamento de plantas baixas de residências. Em vez de usar maliciosamente, ele notificou a DJI usando Claude para o código, e a empresa corrigiu a falha em dois dias.

Resumo

Um homem comprou um robô aspirador DJI de US$ 2.000 e, insatisfeito com o aplicativo oficial, decidiu criar o seu próprio usando a IA Claude, já que "quem ainda escreve código hoje em dia?". Durante o processo, ele descobriu uma grave falha de segurança: a DJI utilizava o mesmo token de autenticação para todos os robôs vendidos, permitindo que ele acessasse instantaneamente 7.000 outros dispositivos de usuários ao redor do mundo. Isso lhe deu visibilidade total para o interior de 7.000 casas em 24 países diferentes, incluindo mapeamentos completos dos pisos e plantas baixas das residências. Em vez de explorar a vulnerabilidade para fins maliciosos, o desenvolvedor agiu eticamente e notificou a DJI imediatamente. A empresa reconheceu o problema e corrigiu a falha em apenas dois dias, demonstrando agilidade na resposta. Essa história destaca tanto os riscos de segurança em dispositivos IoT conectados quanto o poder das IAs na programação e a importância de testes independentes para proteger a privacidade dos usuários. (148 palavras)