DJI заплатила $30 000 за дыру в безопасности умных пылесосов: что это значит для IoT-бизнеса

Исследователь безопасности обнаружил критическую уязвимость в экосистеме DJI. Событие касается каждого, кто продаёт или эксплуатирует IoT-устройства (умные гаджеты с подключением к интернету): роботы-пылесосы, камеры, умные замки. Репутационный и юридический хвост у таких историй длинный.

Что произошло

Пользователь подключил пылесос Romo (бренд под DJI) к геймпаду PlayStation для нестандартного управления. В процессе он обнаружил, что через API (программный интерфейс устройства) получил доступ к ~7 000 чужих устройств, по данным vc.ru.

Доступ включал: удалённое управление пылесосами, просмотр видеопотока с камер, а также загрузку точных карт планировок квартир — то есть полные данные о жилом пространстве реальных людей. DJI закрыла уязвимость и выплатила $30 000 по программе bug bounty (вознаграждение за найденные уязвимости).

Почему это бьёт по деньгам и маркетингу

• Доверие как конверсионный актив — IoT-продукты в России продаются через маркетплейсы. Один громкий инцидент с утечкой данных роняет рейтинг карточки и поднимает CAC (стоимость привлечения клиента) на 20–40%, по отраслевым наблюдениям. Источник данных по конкретной цифре отсутствует — оценка приблизительная.

• LTV под давлением — пользователь, узнавший об уязвимости, не купит следующую модель. LTV (пожизненная ценность клиента) в сегменте умной техники строится на обновлениях и аксессуарах. Утечка данных обрывает эту цепочку.

• Юридическая операционка — в РФ действует 152-ФЗ о персональных данных. Карты квартир и видеопоток — это чувствительные персональные данные. Штрафы за утечку с 2024 года существенно выросли. Внутренняя проверка инфраструктуры после таких инцидентов стоит дороже любого bug bounty.

Как использовать это в ближайшие 30 дней

1. Проведи аудит API своих IoT-продуктов или сервисов — проверь, есть ли у сторонних устройств/приложений избыточный доступ к данным клиентов. Метрика успеха: список закрытых или ограниченных прав доступа за 2 недели.

2. Запусти или зафиксируй политику ответственного раскрытия уязвимостей — даже минимальная программа bug bounty снижает вероятность публичного скандала. Метрика успеха: опубликованная страница с контактом для сообщений об уязвимостях.

3. Добавь в маркетинговые материалы конкретные заявления о безопасности данных — шифрование, изоляция аккаунтов, отсутствие доступа к чужим устройствам. Метрика успеха: рост доверия по NPS (индекс потребительской лояльности) в следующем опросе.

Вывод

DJI справилась с ситуацией по учебнику: быстро закрыла, заплатила, сохранила репутацию. Для остальных игроков IoT-рынка — это сигнал к действию. Игнорировать безопасность API в 2025 году означает принять на себя риск штрафов по 152-ФЗ, потери LTV и роста CAC одновременно.