Tutto è iniziato come un semplice tentativo di pilotare il robot aspirapolvere con un controller della PlayStation 5. La sicurezza domestica connessa ha vissuto uno dei suoi momenti più critici quando Sammy Azdoufal, un programmatore spagnolo, ha scoperto che il suo nuovo dispositivo DJI Romo non era solo un elettrodomestico, ma una porta d’accesso verso migliaia di abitazioni straniere. I server cloud di DJI hanno riconosciuto il suo token di sicurezza come una “master key” e in pochi minuti, Azdoufal si è ritrovato con il controllo potenziale di 7.000 unità sparse in 24 nazioni, ottenendo accesso illimitato a telecamere, microfoni e planimetrie delle case.
L’origine del problema risiede in una gestione errata dei permessi nel backend della piattaforma, specificamente nella comunicazione basata sul protocollo MQTT (Message Queuing Telemetry Transport). Questo sistema, pilastro della comunicazione tra dispositivi IoT e server, non presentava controlli d’accesso adeguati, consentendo a un utente autenticato di leggere il traffico di altri dispositivi in chiaro. Le conseguenze sulla privacy sono state definite “inquietanti”: Azdoufal è riuscito a localizzare il dispositivo di un giornalista internazionale, a produrre una mappa accurata del suo appartamento e ad attivare il video in diretta, tutto senza che la vittima ricevesse alcuna notifica o richiesta di autorizzazione.
“Ho scoperto che il mio dispositivo era solo uno in un oceano di apparecchi”, ha spiegato Azdoufal a The Verge, autorevole testata tecnologica statunitense, precisando di non aver compiuto alcuna operazione di hacking aggressivo: “Non ho violato alcuna regola. Non ho scavalcato sistemi, non ho craccato nulla, né usato la forza bruta o altro”. La vulnerabilità non si limitava ai soli aspirapolvere, poiché il sistema esponeva anche dati diagnostici di stazioni di ricarica portatili del medesimo marchio. Nonostante DJI abbia dichiarato di aver risolto la falla con due aggiornamenti tra l’8 e il 10 febbraio 2026, la gestione della crisi ha sollevato dubbi sulla trasparenza aziendale, poiché il sistema risultava ancora vulnerabile ore dopo le rassicurazioni ufficiali fornite alla stampa.
Oltre al bug specifico, resta aperta la questione della conservazione dei dati. Azdoufal ha inoltre parlato riferito di aver avuto accesso a molte altre informazioni sensibili memorizzate sui server DJI in formato “plain text” (testo semplice), rendendole vulnerabili in caso di intrusione nei database centrali. Questa vicenda si inserisce in un clima di forte tensione regolatoria per DJI: il colosso cinese è stato recentemente inserito nella Covered List della FCC statunitense, una mossa che impedisce l’autorizzazione di nuovi prodotti negli USA per motivi di sicurezza nazionale. Sebbene l’azienda abbia contestato legalmente tale decisione il 20 febbraio 2026, incidenti come quello del modello Romo rischiano di indebolire la posizione difensiva del marchio nelle sedi istituzionali.
Al termine dell’indagine, DJI ha riconosciuto la gravità della segnalazione premiando Azdoufal con 30.000 dollari attraverso il proprio programma di bug bounty. Restano tuttavia da risolvere alcune vulnerabilità residue che permetterebbero ancora la visualizzazione di video senza il PIN di sicurezza obbligatorio, una falla che l’azienda promette di sanare definitivamente entro poche settimane.
