كشف تحقيق نشر أن أزدوفال عرض خريطة عالمية تبين مواقع آلاف أجهزة DJI عبر 24 دولة، حيث سجل خلال تسع دقائق نحو 6700 جهاز وجمع أكثر من 100000 حزمة بيانات MQTT تحتوي على أرقام تسلسلية وتفاصيل عن التنظيف وملاحظات الغرفة ومسافات السفر وبطاريات ومعوقات. وباستخدام رقم تسلسلي لزميل، وصل إلى بيانات في الوقت الفعلي، بما في ذلك نشاط الروبوت في غرفة معينة وبطارية 80%، وأنشأ مخطط أرضية دقيق لمنزل في دولة أخرى. وتجاوز رمز الأمان للوصول إلى تغذية فيديو ROMO الخاص به، وشارك نسخة قراءة فقط مع غونزاغ دامبريكورت، الذي أكد الوصول إلى تغذية كاميرا ROMO غير المقترن.
الثغرات الأمنية
لم يخترق أزدوفال خوادم DJI، بل استخرج رمز الجهاز الخاص المعتمد من الخوادم في الولايات المتحدة والصين والاتحاد الأوروبي وبيئة ما قبل الإنتاج، كاشفًا بيانات مستخدمين آخرين، وأداته تمسح البيانات عند الإغلاق، وفي البداية لم يتمكن من التحكم عن بعد أو الوصول إلى الفيديو والميكروفون، حيث قيدت DJI ذلك بعد الإبلاغ.
الحلول والتأثيرات
اعترفت DJI بمشكلة تحقق صلاحية خلفية في اتصال MQTT قد تسمح بالوصول إلى فيديو حي غير مصرح، لكن الحوادث نادرة وغالبًا ما تكون من باحثين، وقد نشرت تصحيحات في 8 و10 فبراير 2026 عبر تحديثات تلقائية، مع تشفير البيانات عبر TLS وتخزينها على خوادم أمازون.
