Falha nos servidores da DJI transforma token em 'master key' e expõe 7.000 aspiradores em 24 países

O que começou como um experimento caseiro de automação transformou-se em um incidente sério para a privacidade: um bug nos servidores da DJI converteu um único token de segurança em uma espécie de master key, permitindo o acesso potencial a câmeras, microfones e plantas de residências em 24 países.

O programador espanhol Sammy Azdoufal estava tentando apenas controlar um aspirador robô com um controle de PlayStation 5 quando percebeu que seu novo dispositivo DJI Romo não era apenas um eletrodoméstico remoto, mas uma porta para um vasto universo de aparelhos alheios. Em poucos minutos, os servidores da DJI passaram a reconhecer o token do seu dispositivo como uma chave mestra, dando-lhe controle potencial sobre cerca de 7.000 unidades espalhadas por 24 nações, com acesso a vídeo, áudio e mapas internos.

Do ponto de vista técnico, a raiz do problema está na má gestão de permissões no backend da plataforma, especificamente na camada de comunicação baseada no protocolo MQTT (Message Queuing Telemetry Transport). Esse protocolo, parte do alicerce digital que sustenta a comunicação entre dispositivos IoT e servidores, não apresentava controles de acesso adequados. Isso permitiu que um usuário autenticado lesse tráfego de outros dispositivos em texto claro.

As consequências práticas para a privacidade foram imediatas e inquietantes. Azdoufal relatou ter localizado o equipamento de um jornalista internacional, desenhado uma planta precisa do apartamento e ativado transmissão de vídeo ao vivo — tudo sem que a pessoa visada recebesse notificações ou pedidos de autorização. Além dos aspiradores, o vazamento incluiu dados diagnósticos de estações de carregamento portáteis da mesma marca.

Outro ponto crítico foi a persistência de dados sensíveis em formato de dados em texto simples nos servidores da empresa, tornando informações úteis para administração e suporte igualmente vulneráveis em caso de invasão a bancos de dados centrais.

A DJI informou que corrigiu a falha com duas atualizações lançadas entre 8 e 10 de fevereiro de 2026, mas a resposta gerou dúvidas sobre a transparência e a eficácia da mitigação: horas após as declarações oficiais, o sistema ainda apresentava vulnerabilidades. O episódio ocorre em um contexto regulatório já tenso para a fabricante chinesa, que foi recentemente adicionada à Covered List da FCC dos EUA — uma restrição que impede novas autorizações de produtos no mercado americano.

Do ponto de vista sistêmico, essa ocorrência é um lembrete de que a infraestrutura digital das residências — o “sistema nervoso das cidades” em escala micro — depende de camadas de controle e autenticação tão robustas quanto a fiação elétrica que alimenta um prédio. Quando uma falha de permissão transforma um token em chave mestra, todo o fluxo de dados se torna um risco latente para a privacidade e a segurança física.

Para empresas, arquitetos de plataformas e reguladores, o caso destaca dois vetores de ação prioritários: reforçar o modelo de permissões e criptografia end-to-end nas comunicações MQTT, e revisar práticas de armazenamento para evitar dados em texto simples. Para cidadãos e usuários, é mais um chamado à vigilância informada sobre como os dispositivos domésticos se integram ao nosso cotidiano e aos alicerces digitais que os sustentam.

Sammy Azdoufal declarou ter agido sem objetivos maliciosos: "Não criei brechas; não quebrei senhas nem usei força bruta", disse ao The Verge. Ainda assim, a facilidade de exploração mostrou que um único ponto de falha pode se propagar em escala global, expondo irreversivelmente camadas íntimas de nossas residências.

Em última análise, o incidente é um alerta prático: a integração de dispositivos inteligentes exige controles tão precisos quanto os projetos de engenharia civil — negligenciar permissões é como deixar uma válvula mestra aberta em uma rede urbana, com consequências que podem se espalhar rapidamente.