Những mẫu robot bị ảnh hưởng đều là Ecovacs Deebot X2 do Trung Quốc sản xuất.
Một trong những nạn nhân của vụ tấn công này là Luật sư Daniel Swenson ở Minnesota, ông chia sẻ khi đang xem TV thì bỗng nhiên con robot hút bụi của gia đình bắt đầu trục trặc. “Nó nghe giống như một tín hiệu radio bị hỏng hay gì đó”, robot bắt đầu nói ra những lời kỳ lạ.
Nhiều robot hút bụi ECOVACS Deebot X2 được báo cáo là đã bị hack ở nhiều thành phố trên khắp nước Mỹ, chúng được cho là có thể tuôn ra những lời tục tĩu chửi bới chủ nhân hoặc đuổi bắt thú cưng.
Thông qua ứng dụng Ecovacs trên điện thoại, ông thấy có người lạ đang truy cập vào nguồn cấp dữ liệu camera trực tiếp và tính năng điều khiển từ xa của ứng dụng.
Cho rằng đó là lỗi kỹ thuật, ông Swenson đã đặt lại mật khẩu, khởi động lại robot. Tuy nhiên, robot lại ngay lập tức bắt đầu di chuyển. Giọng nói trong loa cũng trở nên rõ ràng hơn, phát ra những lời tục tĩu phân biệt chủng tộc, to và rõ ràng ngay trước mặt gia đình ông.
Vẫn chưa tin vào những gì đang diễn ra, ông lập tức tắt robot đi. Bất chấp những ý kiến trái chiều, ông Swenson vẫn vui mừng vì tin tặc đã thể hiện sự hiện diện của mình một cách rầm rộ như vậy. Mọi chuyện sẽ tồi tệ hơn nếu họ quyết định âm thầm theo dõi gia đình ông, ngay trong chính căn nhà của mình. “Tôi sốc, sau đó gần như là sợ hãi và ghê tởm”. Ông đã mang thiết bị đến gara chứa đồ của gia đình và không bao giờ bật nó lên nữa.
Daniel Swenson đang đứng trong căn phòng nơi robot hút bụi của anh bị hack. (Ảnh ABC News)
Swenson sau đó đã khiếu nại tới công ty. Nhân viên của Ecovacs ban đầu thậm chí còn không tin vào phản ánh của khách hàng. Tuy nhiên, khi nhận được nhiều phản ánh tương tự, họ đã phải tiến hành điều tra nghiêm túc. Trong email sau đó, họ nói với Swenson rằng "có khả năng cao là tài khoản Ecovacs của ông đã bị ảnh hưởng bởi một cuộc tấn công mạng 'nhồi nhét thông tin đăng nhập'". Đây là trường hợp ai đó sử dụng lại cùng một tên người dùng và mật khẩu trên nhiều trang web và thông tin này bị đánh cắp trong một cuộc tấn công mạng riêng biệt.
Công ty nói với ABC rằng họ "không tìm thấy bằng chứng" cho thấy các tài khoản bị hack thông qua "bất kỳ hành vi vi phạm nào trong hệ thống của Ecovacs".
Tương tự như trường hợp kể trên, nhiều người dùng khác ở Mỹ cũng đã có báo cáo các vụ tấn công tin tặc tương tự chỉ trong vài ngày.
Trước đó, vào ngày 24/5, một chiếc Ecovacs Deebot X2 cũng đã nổi điên và đuổi theo con chó của gia đình quanh nhà ở Los Angeles. Con robot được điều khiển từ xa, trong khi loa của nó lại phát ra những lời lăng mạ. Năm ngày sau, một thiết bị khác tiếp tục bị xâm nhập, một con robot Ecovacs ở El Paso cũng đã tuôn ra những lời lẽ phân biệt chủng tộc với chủ nhân của nó cho đến khi bị rút phích cắm.
Hiện, không rõ tổng cộng có bao nhiêu thiết bị robot hút bụi Ecovas đã bị hack.
Ecovacs X2 có tính năng điều khiển từ xa cho phép truy cập vào camera của thiết bị. ( ABC News:
6 tháng trước, các nhà nghiên cứu bảo mật đã cố gắng thông báo cho Ecovacs về những lỗ hổng bảo mật đáng kể trong robot hút bụi và ứng dụng điều khiển chúng. Trong đó, lỗi nghiêm trọng nhất là lỗi đầu nối Bluetooth, cho phép tin tặc truy cập hoàn toàn vào Ecovacs X2 từ khoảng cách hơn 100 mét.
Vào tháng 12/2023, các nhà nghiên cứu bảo mật Dennis Giese và Braelynn Luedtke cũng phát hiện ra sự cố với hệ thống mã PIN bảo vệ nguồn cấp dữ liệu của camera. Ecovacs đã được cảnh báo về vấn đề này trước khi các nhà nghiên cứu bảo mật phát hiện ra lỗ hổng. Người phát ngôn tuyên bố lỗ hổng đã được khắc phục, nhưng Giese nói với ABC rằng giải pháp này là không đủ.
Theo ấn phẩm, Ecovacs có kế hoạch phát hành bản vá cho Deebot X2 vào tháng 11. Công ty cũng cho biết đã gửi email cho khách hàng nhắc nhở họ thay đổi mật khẩu.
