Vika Rosa
RedatoraJornalista com mais de 5 anos de experiência, cobrindo os mais diversos temas. Apaixonada por ciência, tecnologia e games.
Um simples experimento virou um pesadelo de segurança. Sammy Azdoufal, estrategista de IA, comprou o novo aspirador robô Romo da DJI e decidiu criar um app próprio para controlá-lo com um joystick. O que ele não esperava era ganhar acesso a milhares de dispositivos espalhados pelo mundo.
Ao conectar seu aplicativo aos servidores em nuvem da empresa, o sistema não autenticou apenas o aparelho dele. Em vez disso, liberou controle sobre cerca de 6.700 dispositivos em 24 países — incluindo aspiradores e estações de energia portáteis. No total, mais de 10 mil equipamentos ficaram expostos.
This story is actually insane:
— Mark Gadala-Maria (@markgadala) February 23, 2026
• dude drops $2000 on a DJI robot vacuum like a lunatic
• refuses to use the normal app like a peasant
• Sammy Azdoufal fires up Claude to crack the API so he can drive it with an xbox controller
• Claude delivers the goods
• pulls an auth… pic.twitter.com/VxJLXuHTTw
Com esse acesso, era possível visualizar câmeras embarcadas, mapas internos das casas, números de série, endereços IP e até ignorar o PIN de bloqueio com um código de 14 dígitos. Tudo isso sem invadir servidores — apenas explorando uma falha de validação no backend.
A vulnerabilidade foi corrigida após o alerta, mas o caso reacende preocupações sobre dispositivos conectados à nuvem. Quando o controle passa por servidores remotos, fabricantes, e eventualmente terceiros, podem ter um nível alarmante de acesso à vida privada dos usuários.
Ver 0 Comentários