> wees Sammy Azdoufal, software engineer > geef $2000 uit aan de DJI Romo stofzuiger > besluit het te besturen met een xbox-controller zoals een chad > gebruik Claude om de API te reverse-engineeren > Het werkt omdat Claude de GOAT is > moet alleen het auth-token van hun cloudservers ophalen > token werkt... Claude is onverslaanbaar > wacht, waarom is hij geauthenticeerd als 7000 apparaten > ohnee.jpg > backend vertrouwde elk geldig token voor elk apparaat, geen eigendomsverificatie > mfw Sammy live camerafeeds van stofzuigers in 24 landen heeft > kijkt naar een Duitse dude die om 3 uur 's nachts ontbijtgranen eet > kan SLAM-gegevens ophalen en plattegronden van ieders huis krijgen > zou de meest efficiënte inbreker ter wereld kunnen zijn > zou de grootste pervert op schaal ter wereld kunnen zijn > Sammy wilde gewoon zijn stofzuiger besturen, bro > meldt het als een verantwoordelijke volwassene > DJI maakt in 2 dagen een patch > terug naar een normale gast met een te dure roomba > mfw de hele IoT-industrie auth behandelt alsof het 2005 is