एक सॉफ्टवेयर इंजीनियर सैमी एजडोफल (Sammy Azdoufal) सिर्फ अपने रोबोट वैक्यूम को वीडियो गेम कंट्रोलर से चलाना चाहते थे. इस रोबोट का नाम था DJI Romo. यह एक स्मार्ट रोबोट वैक्यूम था जो घर की सफाई और पोछा लगाने का काम खुद करता है. इसके लिए उन्होंने अपना खुद का रिमोट कंट्रोल ऐप बनाना शुरू किया, लेकिन इस कोशिश के दौरान उनसे अनजाने में एक बड़ी सुरक्षा खामी का खुलासा हो गया.
AI टूल से मिली मदद
ऐप बनाने के लिए सैमी ने एक AI कोडिंग असिस्टेंट की मदद ली, ताकि वह समझ सकें कि रोबोट किस तरह DJI के क्लाउड सर्वर से जुड़ता है. लेकिन जब उन्होंने सिस्टम को एक्सेस किया, तो उन्हें पता चला कि वही डिजिटल क्रेडेंशियल्स जो उनके अपने रोबोट को कंट्रोल करने के लिए थे, वे लगभग 7,000 अन्य रोबोट वैक्यूम तक भी पहुंच दे रहे थे. ये रोबोट 24 अलग-अलग देशों में मौजूद थे.
इस खामी के कारण वह लाइव कैमरा फीड, माइक्रोफोन ऑडियो, घरों के मैप और स्टेटस डेटा तक देख सकते थे. यानी अगर यह जानकारी गलत हाथों में चली जाती, तो हजारों घरों की प्राइवेसी खतरे में पड़ सकती थी.
सुरक्षा में बड़ी चूक
यह रोबोट DJI के सर्वर पर कुछ डेटा स्टोर करता है, ताकि वह घर का लेआउट समझ सके और अलग-अलग कमरों की पहचान कर सके. लेकिन सर्वर ने सिर्फ एक यूजर टोकन की पुष्टि करने के बजाय कई रोबोट्स तक एक्सेस दे दिया. इस गलती से सैमी को ऐसा एक्सेस मिल गया, जैसे वह उन सभी रोबोट्स के मालिक हों. वह चाहें तो कैमरा चालू कर सकते थे और माइक्रोफोन भी एक्टिव कर सकते थे.
हालांकि सैमी ने इस कमजोरी का गलत फायदा नहीं उठाया. उन्होंने इस जानकारी को मीडिया के साथ साझा किया, जिसके बाद कंपनी को इसकी सूचना दी गई.
कंपनी का रिएक्शन
DJI ने बयान जारी कर कहा कि उन्हें जनवरी के अंत में इस कमजोरी का पता चला और उन्होंने तुरंत सुधार प्रक्रिया शुरू की. कंपनी के अनुसार 8 फरवरी और 10 फरवरी को दो अपडेट जारी किए गए, जिससे यह समस्या ठीक कर दी गई. यह अपडेट ऑटोमैटिक था और यूजर्स को कोई अलग कदम उठाने की जरूरत नहीं पड़ी.
सैमी का मकसद सिर्फ अपने रोबोट को जॉयस्टिक से चलाना था, और वह इसमें सफल भी हुए. लेकिन इस घटना ने दिखा दिया कि इंटरनेट से जुड़े डिवाइस कितने संवेदनशील हो सकते हैं. स्मार्ट डिवाइस सुविधा जरूर देते हैं, लेकिन इसके साथ प्राइवेसी का जोखिम भी आता है.
