Usuários de aspiradores robóticos Ecovacs Deebot X2 de diversas cidades dos EUA relataram que seus dispositivos foram hackeados. Os hackers conseguiram controlar os aparelhos e, através dos alto-falantes dos aspiradores, transmitiram insultos racistas, deixando os proprietários chocados. Estes incidentes expuseram graves vulnerabilidades de segurança em dispositivos inteligentes modernos e ameaçaram a privacidade dos utilizadores.
Daniel Swenson, um advogado de Minnesota, encontrou problemas com seu aspirador robô quando o dispositivo começou a emitir sons estranhos que pareciam um sinal de rádio intermitente. Olhando para o aplicativo móvel Ecovacs, ele viu que uma pessoa desconhecida tinha acesso à câmera do robô e às funções de controle remoto. A princípio, Svenson achou que era apenas uma falha técnica e alterou a senha reiniciando o dispositivo. No entanto, o aspirador logo começou a se mover novamente e insultos racistas foram ouvidos nos alto-falantes.
Em 24 de maio, um incidente semelhante foi registrado em Los Angeles. Um aspirador robô Ecovacs Deebot X2 hackeado começou a perseguir o cachorro de seus donos enquanto hackers controlavam o dispositivo à distância e gritavam insultos pelos alto-falantes. Cinco dias depois, em El Paso, outro aspirador robô Ecovacs foi hackeado e calúnias racistas foram novamente ouvidas em seus alto-falantes. O proprietário foi forçado a desligar o aparelho para impedir o que estava acontecendo. Os acontecimentos que se desenrolaram ao longo de vários dias causaram alarme entre utilizadores e especialistas em segurança cibernética.
Seis meses antes, investigadores de segurança cibernética alertaram a Ecovacs sobre vulnerabilidades críticas nos seus dispositivos. Em particular, descobriram um problema com a ligação sem fios que permitia aos atacantes controlar aspiradores a uma distância de até 100 metros. Apesar destes avisos, a empresa não tomou as medidas necessárias, o que levou a hacks massivos em maio deste ano.
Após o incidente, Daniel Swenson contatou o suporte da Ecovac, mas seu pedido foi recebido com descrença. Um representante da empresa perguntou várias vezes se havia imagens de vídeo do incidente, embora Swenson tenha insistido que estava mais preocupado com o hack em si e com a violação da confidencialidade. Essa atitude o fez pensar se a empresa estaria tentando esconder a verdadeira extensão do problema.
Em dezembro de 2023, os pesquisadores de segurança Dennis Giese e Braelynn Luedtke apresentaram publicamente evidências de uma vulnerabilidade de código PIN em robôs Ecovacs. Eles enfatizaram que a verificação do código PIN foi realizada apenas no nível do aplicativo, e não no servidor ou dispositivo, o que tornou mais fácil para os invasores contornarem a proteção do aspirador inteligente. A empresa afirmou que a vulnerabilidade foi corrigida, mas especialistas acreditam que as medidas tomadas não foram suficientes.