Pelanggaran kritis di server DJI mengekspos kamera robot rumahan dan memperingatkan pakar privasi

Kerentanan parah yang teridentifikasi pada infrastruktur cloud DJI, raksasa global di sektor drone dan robotika, telah membahayakan privasi ribuan rumah di seluruh dunia. Pelanggaran keamanan memungkinkan pihak ketiga yang tidak berwenang mengakses feed video, audio, dan data navigasi dari jarak jauh dari robot rumah merek tersebut, seperti model RoboMaster. Insiden tersebut, yang mengungkap kerapuhan sistem autentikasi pada perangkat Internet dan Coisas (IoT), telah diperbaiki oleh perusahaan pada Februari 2026, namun menimbulkan perdebatan sengit tentang perlindungan data biometrik dan spasial yang dikumpulkan oleh peralatan pintar.

Masalah ini ditemukan secara tidak sengaja oleh seorang peneliti keamanan yang dikenal dengan nama samaran Azdoufal. Durante pengujian integrasi perangkat keras, spesialis melihat anomali dalam lalu lintas data antara robot dan server pabrikan. Investigasi mengungkapkan bahwa sistem validasi token akses tidak memverifikasi kepemilikan perangkat dengan benar, sehingga memungkinkan pengguna dengan kredensial yang valid untuk menyadap komunikasi dari peralatan lain yang terhubung ke jaringan global yang sama.

Pakar keamanan siber mengklasifikasikan kesalahan tersebut sebagai kelemahan kontrol akses yang kritis. Pelanggaran ini menghilangkan hambatan digital antar pengguna, mengubah cloud perusahaan menjadi gudang terbuka bagi siapa saja yang mengetahui cara mengeksploitasi kerentanan tersebut. Dengan koreksi yang diterapkan pada server, perusahaan memastikan bahwa akses tidak sah telah diblokir, namun episode tersebut berfungsi sebagai peringatan tentang perlunya protokol yang lebih ketat dalam industri teknologi dalam negeri.

Kasus ini mendapat perhatian internasional karena sifat sensitif dari informasi yang terungkap. Diferente kebocoran data registrasi, insiden ini melibatkan pemantauan interior rumah secara real-time, termasuk percakapan pribadi dan pemetaan ruangan secara mendetail, yang dapat memfasilitasi tindakan kriminal fisik atau digital terhadap pemilik perangkat yang terkena dampak.

Penemuan yang tidak disengaja mengungkapkan kelemahan sistemik

Proses yang mengarah pada identifikasi cacat tersebut dimulai ketika peneliti Azdoufal mencoba menghubungkan pengontrol PlayStation 5 ke robot DJI miliknya. Saat menganalisis log komunikasi untuk memahami bagaimana perangkat merespons perintah, dia memperhatikan bahwa sistem menghasilkan token sesi untuk mengautentikasi koneksi ke cloud. Keingintahuan teknis membawanya untuk menguji batas-batas token ini, mengungkapkan skenario keamanan informasi yang mengkhawatirkan.

Dengan memanipulasi permintaan yang dikirim ke server, peneliti menemukan bahwa infrastruktur DJI tidak menghubungkan token akses secara eksklusif ke nomor seri perangkat pengguna. Dalam praktiknya, ini berarti, begitu berada di dalam sistem, dimungkinkan untuk meminta data dari robot lain yang terhubung ke jaringan, tanpa server memblokir tindakan tersebut karena kurangnya izin. Essa kurangnya pemeriksaan silang dianggap sebagai kesalahan dasar dalam arsitektur keamanan jaringan.

Memanfaatkan kerentanan memungkinkan peneliti untuk mencegat aliran data dari ribuan unit yang tersebar di beberapa negara. Lalu lintas yang ditangkap tidak hanya mencakup telemetri teknis tetapi juga file multimedia yang dikirim atau disimpan di cloud. Kemudahan dalam mengkompromikan sistem menunjukkan bahwa lapisan perlindungan yang diterapkan oleh pabrikan tidak cukup untuk menahan serangan yang ditargetkan atau bahkan eksploitasi yang aneh.

Protokol MQTT, yang banyak digunakan pada perangkat IoT untuk komunikasi yang ringan dan cepat, adalah vektor yang digunakan dalam eksplorasi. Embora protokol itu sendiri aman ketika dikonfigurasi dengan baik, implementasi yang dilakukan di server perusahaan gagal memisahkan topik pesan setiap pengguna. Isso menciptakan lingkungan di mana pesan pribadi dari satu perangkat dapat dibaca oleh perangkat lain, sehingga melanggar prinsip kerahasiaan yang seharusnya mengatur layanan cloud.

Dampak terhadap privasi dan data sensitif

Tingkat keparahan insiden ini terletak pada jenis data yang dikumpulkan dan diproses oleh robot DJI. Equipados dengan kamera resolusi tinggi, mikrofon, dan sensor LiDAR (Light Detection dan Ranging), perangkat ini berfungsi sebagai mata dan telinga di dalam rumah pengguna. Akses tidak sah ke sensor ini memungkinkan untuk melihat rutinitas rumah tangga, menguping percakapan rahasia, dan mendapatkan denah rumah yang akurat.

Peta yang dihasilkan oleh sensor LiDAR sangat berharga dan berbahaya jika berada di tangan yang salah. Eles membuat representasi tiga dimensi lingkungan, merinci penataan furnitur, letak pintu dan jendela, bahkan keberadaan benda berharga. Para penjahat, informasi ini dapat digunakan untuk merencanakan invasi fisik dengan tingkat detail yang belum pernah terjadi sebelumnya, mengetahui terlebih dahulu tata letak properti dan titik-titik keamanan.

Selain risiko fisik, paparan gambar dan audio merupakan pelanggaran langsung terhadap privasi. Dalam skenario di mana pekerjaan jarak jauh dan kehidupan digital diintegrasikan ke dalam lingkungan rumah, kemungkinan pertemuan kerja, momen keluarga, atau situasi intim diteruskan ke pihak ketiga akan menimbulkan kerusakan yang tidak dapat diperbaiki pada kepercayaan konsumen. Kegagalan tersebut mengungkap rapuhnya janji privasi yang menyertai penjualan perangkat pintar.

Leia Também

Indonésio News • 16/06/2026

Terremoto de 6,7 atinge Indonésia e causa prejuízos estruturais em edificações locais

Copa do Mundo • 20/04/2026

Governo indonésio define: Dia de Kartini de 2026 não entra na lista de feriados nacionais

Indonésio News • 06/04/2026

Penelitian mengungkapkan bahwa orang tua tidak menyadari bagaimana anak-anak mereka menggunakan kecerdasan buatan

Cakupan geografis dari masalah ini juga merupakan faktor yang mengkhawatirkan. Analisis lalu lintas yang dicegat menunjukkan bahwa perangkat di América dari Norte, Europa, dan Ásia rentan. Isso menunjukkan bahwa kelemahan tersebut tidak terbatas pada server regional tertentu, namun terdapat pada arsitektur inti platform global DJI, sehingga memengaruhi pengguna terlepas dari lokasi mereka atau undang-undang perlindungan data yang berlaku di negara mereka.

Respons perusahaan dan pembaruan keamanan

Menyusul pemberitahuan bertanggung jawab yang dibuat oleh peneliti, DJI memulai audit internal untuk memverifikasi tingkat kerentanan. Perusahaan mengkonfirmasi adanya kelemahan dalam konfigurasi broker MQTT dan memobilisasi tim tekniknya untuk mengembangkan perbaikan segera. Proses mitigasi dilakukan langsung di server, sehingga menghilangkan kebutuhan akan pembaruan firmware oleh pengguna akhir.

Perbaikan ini diterapkan dalam dua fase utama pada awal Februari 2026. Langkah pertama melibatkan perubahan aturan kontrol akses, memastikan bahwa setiap token sesi terikat erat dengan ID perangkat dan akun pengguna pemilik. Fase kedua terdiri dari pengujian penetrasi untuk memastikan bahwa konfigurasi baru akan menolak upaya eksploitasi serupa, menutup pintu akses lateral antar akun.

DJI mengeluarkan pernyataan yang mengakui masalah tersebut dan mengklasifikasikannya sebagai risiko berdampak tinggi. Perusahaan menyatakan bahwa tidak ada bukti bahwa kelemahan tersebut dieksploitasi oleh pelaku jahat sebelum peneliti menemukannya, namun sifat diam dari jenis kerentanan ini membuat sulit untuk menjamin tidak adanya akses tidak sah di masa lalu. Transparansi dalam komunikasi dipandang sebagai langkah penting dalam upaya memulihkan kredibilitas basis pelanggan.

Sebagai tindakan pencegahan tambahan, pabrikan mengumumkan bahwa mereka akan meninjau protokol pengembangan aman (SDLC). Tujuannya adalah untuk mengintegrasikan pemeriksaan keamanan yang lebih ketat ke dalam semua tahap pembuatan perangkat lunak dan layanan cloud, mencegah kesalahan dalam logika autentikasi mencapai lingkungan produksi. Perusahaan juga memperkuat program bug bounty, mendorong komunitas keamanan untuk melaporkan bug secara etis.

Tantangan keamanan pada perangkat IoT

Insiden robot DJI menggambarkan tantangan sistemik dalam industri Internet. Dengan jutaan perangkat pintar baru yang diperkirakan akan memasuki rumah-rumah di tahun-tahun mendatang, serangan terhadap penjahat dunia maya terus meluas. Tekanan untuk rilis cepat dan fitur-fitur inovatif sering kali menyebabkan produsen mengabaikan aspek keamanan mendasar seperti pemisahan data dan otentikasi yang kuat.

Ketergantungan pada cloud untuk menjalankan perangkat ini menciptakan satu titik kegagalan. Quando kecerdasan peralatan berada di server jarak jauh dan bukan pada perangkat keras itu sendiri, kerentanan dalam infrastruktur pabrikan langsung membahayakan seluruh basis pengguna. Model terpusat Esse, meskipun efisien untuk pembaruan dan pemrosesan data yang berat, memerlukan tingkat keunggulan keamanan siber yang masih sulit dicapai oleh banyak perusahaan.

Bagi konsumen, episode ini berfungsi sebagai pengingat akan pentingnya menerapkan praktik pertahanan secara mendalam. Segmentar jaringan rumah, menciptakan Wi-Fi eksklusif untuk perangkat pintar yang terpisah dari jaringan tempat komputer dan ponsel dengan rincian bank bepergian, merupakan tindakan yang disarankan. Além Selain itu, selalu memperbarui firmware peralatan dan meninjau izin privasi secara berkala adalah kebiasaan penting di era digital.

Peraturan seperti LGPD di Brasil dan GDPR di Europa terus menekan perusahaan untuk bertanggung jawab lebih besar dalam pemrosesan data. Incidentes seperti ini dapat mengakibatkan sanksi berat dan rusaknya reputasi perusahaan, memaksa pasar untuk mengadopsi konsep “Keamanan oleh Design”, di mana keamanan dipikirkan sejak konsepsi produk, dan bukan hanya sebagai perbaikan di kemudian hari. Perlindungan rumah yang terhubung tidak lagi menjadi pembeda tetapi sudah menjadi persyaratan wajib untuk bertahan di pasar teknologi.