Perusahaan teknologi raksasa asal China yang dikenal lewat inovasi drone-nya, DJI, baru-baru ini menjadi sorotan setelah memberikan hadiah "bug bounty" senilai USD 30.000 atau setara dengan sekitar Rp 490 juta kepada seorang peneliti keamanan siber. Penghargaan fantastis ini diberikan sebagai apresiasi atas penemuan celah keamanan krusial pada produk robot vacuum buatannya, DJI Romo, yang berpotensi membahayakan privasi ribuan pengguna. Insiden ini, yang dilaporkan pada Senin, 9 Maret 2026, kembali menegaskan pentingnya keamanan siber dalam ekosistem perangkat pintar (IoT) yang terus berkembang pesat.
Peneliti keamanan independen bernama Sammy Azdoufal adalah sosok di balik penemuan penting ini. Kisah penemuannya bermula dari sebuah eksperimen sederhana yang tidak biasa. Azdoufal, dengan rasa ingin tahu yang tinggi, mencoba mengendalikan robot vacuum DJI Romo miliknya menggunakan sebuah gamepad PlayStation controller. Apa yang awalnya hanya sebuah upaya iseng untuk bereksperimen dengan perangkat pintar, justru membawanya pada sebuah penemuan yang mengejutkan dan mengkhawatirkan: ia berhasil mengakses jaringan yang terdiri dari sekitar 7.000 robot vacuum DJI Romo lainnya yang tersebar di berbagai lokasi, dan semua itu dapat diakses dari jarak jauh.
DJI Romo sendiri merupakan perangkat pembersih rumah tangga yang dilengkapi dengan kamera dan dapat dikendalikan melalui aplikasi khusus di perangkat seluler. Dengan adanya kerentanan yang ditemukan Azdoufal, ia berhasil menunjukkan bahwa seseorang berpotensi besar untuk mengakses feed video dari robot-robot tersebut. Bayangkan, kamera yang seharusnya membantu navigasi robot dan pemantauan rumah, tiba-tiba bisa menjadi "mata digital" bagi pihak yang tidak bertanggung jawab, memungkinkan mereka melihat kondisi di dalam rumah pengguna secara langsung tanpa izin. Potensi pelanggaran privasi ini sangat serius, mengingat rumah adalah ruang pribadi yang paling sakral.
Menanggapi temuan tersebut, DJI segera memberikan pernyataan resmi. Meskipun tidak menyebutkan nama Sammy Azdoufal secara eksplisit, perusahaan mengonfirmasi telah memberikan penghargaan kepada seorang peneliti keamanan independen atas kontribusinya. Pernyataan ini, yang dikutip dari The Verge, menunjukkan bahwa DJI mengakui keseriusan temuan tersebut dan menghargai upaya peneliti dalam mengidentifikasi kelemahan sistem mereka.
Juru bicara DJI, Daisy Kong, menjelaskan bahwa salah satu celah paling kritis yang memungkinkan seseorang untuk menonton streaming video robot tanpa perlu memasukkan kode PIN telah berhasil diperbaiki. "Kami dapat mengonfirmasi bahwa observasi terkait keamanan kode PIN telah ditangani pada akhir Februari," kata Kong. Pernyataan ini memberikan sedikit ketenangan bagi pengguna, menunjukkan bahwa perusahaan bergerak cepat untuk mengatasi ancaman paling langsung. Namun, DJI juga mengakui bahwa masih ada kerentanan lain yang sedang dalam proses perbaikan. Perusahaan menyebutkan sedang melakukan peningkatan sistem secara menyeluruh yang diperkirakan akan selesai dalam waktu sekitar satu bulan ke depan, menandakan bahwa upaya perbaikan masih terus berlanjut dan melibatkan skala yang lebih besar.
Lebih lanjut, DJI juga mempublikasikan sebuah blog resmi yang merinci langkah-langkah penguatan keamanan yang telah dan akan mereka lakukan pada Romo. Dalam tulisan tersebut, DJI menyatakan bahwa mereka sebenarnya telah menemukan masalah awal secara internal. Namun, mereka juga secara terbuka memberikan kredit kepada dua peneliti keamanan independen yang menemukan kerentanan serupa. Hal ini bisa jadi merupakan strategi komunikasi untuk menunjukkan transparansi dan kolaborasi dengan komunitas keamanan siber, sekaligus mengakui bahwa masalah ini tidak hanya ditemukan oleh satu pihak saja.
Kasus ini menjadi lebih menarik karena DJI menegaskan bahwa robot vacuum Romo mereka sebelumnya telah memiliki sertifikasi keamanan dari berbagai lembaga terkemuka, seperti ETSI (European Telecommunications Standards Institute) dan UL Solutions. Romo juga dinyatakan telah memenuhi standar keamanan yang ketat di Uni Eropa. Fakta ini secara langsung memunculkan pertanyaan besar tentang efektivitas sertifikasi keamanan yang ada. Bagaimana mungkin sebuah perangkat yang telah melewati berbagai uji dan mendapatkan stempel persetujuan dari lembaga kredibel, ternyata masih memiliki celah keamanan masif yang memungkinkan seorang peneliti tunggal mengakses jaringan ribuan perangkat hanya dengan eksperimen sederhana?
Fenomena ini menyoroti tantangan yang dihadapi dalam dunia keamanan siber, terutama di sektor Internet of Things (IoT). Sertifikasi keamanan seringkali didasarkan pada standar dan metodologi pengujian tertentu yang mungkin tidak mencakup semua potensi vektor serangan atau skenario eksploitasi yang kreatif. Penemuan seperti yang dilakukan Azdoufal menunjukkan bahwa keamanan adalah sebuah proses berkelanjutan, bukan sekadar titik akhir yang dicapai setelah mendapatkan sertifikasi. Ancaman siber terus berevolusi, dan perangkat yang dianggap aman hari ini bisa jadi rentan besok.
Bagi DJI, insiden ini menjadi pembelajaran berharga. Perusahaan menyatakan komitmennya untuk terus memperbarui sistem keamanan perangkat dan aplikasinya secara berkala, termasuk melalui audit keamanan independen yang lebih mendalam dan berkelanjutan. Mereka juga menyatakan akan membuka lebih banyak peluang kolaborasi dengan komunitas peneliti keamanan di masa depan. Ini adalah langkah yang tepat, karena keterlibatan "mata-mata" independen dari komunitas keamanan siber seringkali lebih efektif dalam menemukan celah yang mungkin terlewat oleh tim internal atau metodologi pengujian standar. Program bug bounty adalah salah satu bentuk kolaborasi ini, yang terbukti efektif dalam mendorong identifikasi dan perbaikan kerentanan sebelum dieksploitasi oleh pihak jahat.
Secara lebih luas, kasus DJI Romo ini menjadi pengingat penting bagi seluruh industri teknologi dan juga konsumen. Bagi produsen perangkat IoT, tanggung jawab untuk memastikan keamanan produk tidak berakhir setelah peluncuran atau sertifikasi. Keamanan harus menjadi inti dari desain produk (security by design) dan terus dipantau serta diperbarui sepanjang siklus hidup produk. Kegagalan dalam hal ini tidak hanya merusak reputasi merek, tetapi juga dapat menimbulkan kerugian finansial yang besar dan, yang paling penting, mengkhianati kepercayaan pengguna.
Bagi konsumen, insiden ini menggarisbawahi perlunya kehati-hatian dalam memilih dan menggunakan perangkat pintar di rumah. Meskipun kenyamanan yang ditawarkan oleh robot vacuum, kamera keamanan pintar, atau perangkat rumah pintar lainnya sangat menggiurkan, risiko privasi dan keamanan harus selalu dipertimbangkan. Pengguna disarankan untuk selalu memperbarui firmware perangkat mereka, menggunakan kata sandi yang kuat dan unik, dan memahami pengaturan privasi setiap perangkat. Memilih produk dari merek yang memiliki rekam jejak yang baik dalam hal keamanan dan respons terhadap kerentanan juga menjadi pertimbangan penting.
Pada akhirnya, penemuan Sammy Azdoufal dan respons dari DJI menyoroti dinamika yang terus berkembang antara inovasi teknologi, privasi pengguna, dan keamanan siber. Sementara teknologi terus membawa kita ke masa depan yang lebih terkoneksi, tanggung jawab untuk menjaga keamanan dan privasi di era digital ini menjadi semakin krusial. Kisah ini menjadi contoh nyata bahwa investasi dalam keamanan, baik melalui program bug bounty maupun audit internal yang ketat, bukanlah pengeluaran, melainkan sebuah keharusan demi menjaga kepercayaan pengguna dan integritas ekosistem digital kita.
