Em 2003, Scott McNealy, então CEO da Sun Microsystems, disse uma frase que o mundo da tecnologia fingiu não ter ouvido: “Você não tem privacidade. Supere isso.” À época, algumas pessoas riram nervosamente, como quem ouve uma piada de mau gosto num jantar de família. Hoje, vinte e dois anos depois, um homem chamado Sammy Azdoufal se sentou no sofá com a intenção de conectar seu aspirador robô a um controle de PlayStation 5, e acidentalmente se tornou o senhor absoluto de quase sete mil lares espalhados por vinte e quatro países. McNealy não estava sendo cínico. Estava sendo profético!

A história começa com a inocência característica de quem nunca deveria ter acesso ao que está prestes a descobrir. Azdoufal, estrategista de Inteligência Artificial numa empresa de aluguel de temporada, comprou um DJI Romo, o novo aspirador robô da DJI, aquela mesma empresa chinesa de drones que os americanos adoram banir e continuar usando. A ideia era singela: usar o Claude Code para fazer engenharia reversa do protocolo de comunicação do aparelho e criar um aplicativo caseiro que permitisse guiá-lo manualmente com o joystick do PS5. Porque, evidentemente, varrer o chão do jeito convencional já não é suficientemente divertido para quem trabalha com IA.

O problema é que, quando o aplicativo dele se conectou aos servidores da DJI, a resposta que chegou de volta não era de um aspirador. Era de 6.997 aspiradores!

Em nove minutos, o laptop de Azdoufal havia catalogado 6.700 dispositivos espalhados pelo mundo, coletado mais de 100 mil mensagens e, de quebra, dado a ele acesso às transmissões de vídeo ao vivo de câmeras instaladas dentro das casas dessas pessoas. Ele podia ouvir pelos microfones integrados. Podia ver os mapas 2D gerados pelos robôs enquanto zanzavam pelos cômodos, incluindo banheiros, quartos e salas. Podia localizar cada aparelho pelo endereço IP. Para demonstrar a dimensão do problema ao jornalista do The Verge que acompanhava a história, Azdoufal pediu o número de série do aspirador do próprio repórter e, com isso, confirmou em tempo real que o robô estava limpando a sala de estar com 80% de bateria. De outro país. Sem autorização de ninguém. NÓIS É RÁQUER!!!

Agora, a pergunta que você não devia fazer mas vai fazer de qualquer jeito: como isso é possível?

Simples, terrivelmente simples! Os dados de todos esses dispositivos estavam armazenados em texto simples nos servidores da DJI. Sem criptografia, sem qualquer barreira real entre um usuário e os dados de todos os outros. O token privado que Azdoufal extraiu do seu próprio robô, aquela chave digital que deveria funcionar como uma senha exclusiva para o seu aparelho, foi reconhecido pelos servidores da empresa como credencial válida para acessar a frota inteira. É como se um banco entregasse a você uma chave do seu cofre e, ao girar essa chave, todas as caixas do banco abrissem ao mesmo tempo.

E aqui é onde a narrativa deixa de ser sobre um homem curioso com um joystick e se torna sobre algo muito mais revelador: o modelo de negócios de praticamente toda empresa de tecnologia de consumo do planeta.

Porque a DJI não é uma exceção. É o padrão.

Seu aspirador robô, sua televisão inteligente, sua campainha com câmera, seu relógio conectado, aquela balança que manda seu peso para um aplicativo, todos esses aparelhos estão permanentemente ligados a servidores de empresas que você nunca escolheu conscientemente como custodiantes da sua vida privada. Quando você pergunta, perplexo, como um golpista sabia seu nome, seu endereço e os últimos quatro dígitos do seu cartão, a resposta raramente é um hacker genial operando de um porão escuro. A resposta, na maioria das vezes, é uma ridícula brecha exatamente como essa: dados armazenados sem criptografia, permissões validadas de forma preguiçosa, protocolos construídos com a urgência de quem precisa lançar produto antes do Natal e corrigi-lo depois, se der.

O caso da Ecovacs, de 2024, já havia anunciado esse roteiro. Donos de aspiradores Deebot X2 nos EUA acordaram para ouvir seus robôs gritando insultos racistas pelos alto-falantes, controlados remotamente por hackers que exploraram uma falha no sistema Bluetooth que permitia acesso a mais de 100 metros de distância. A resposta oficial da Ecovacs foi declarar que não havia “encontrado evidências” de violação. Um funcionário sênior da empresa chegou a exigir que um dos usuários afetados apresentasse um vídeo da situação, como se a vítima tivesse obrigação de documentar o próprio assalto para que a empresa acreditasse nela.

O padrão é sempre o mesmo: lançar produto com falha de segurança clássica, ignorar pesquisadores que apontam o problema, entrar em pânico quando a imprensa publica e depois emitir nota garantindo que tudo está resolvido quando não está.

A DJI executou exatamente esse script. Quando Azdoufal reportou a vulnerabilidade, a empresa trabalhou em correções e implementou atualizações nos dias 8 e 10 de fevereiro de 2026. Depois enviou nota à imprensa comunicando que o problema estava resolvido. Horas depois, em demonstração ao vivo, Azdoufal provou que ainda acessava milhares de dispositivos remotamente. O bloqueio definitivo só veio no dia seguinte, depois de a empresa ser confrontada publicamente com evidências de que a falha persistia.

Pense no que isso significa na prática. Uma empresa lhe vende um produto que instala câmera e microfone dentro da sua casa. Armazena os dados capturados por esses sensores em texto simples nos seus servidores. Quando descoberta a vulnerabilidade, mente sobre ter corrigido o problema. E, por baixo de tudo isso, mantém uma arquitetura que permite que qualquer pessoa com o token de um único dispositivo acesse potencialmente toda a frota. Isso não é descuido. É uma escolha de design feita por pessoas que sabem exatamente o que estão fazendo, porque dados têm valor, e coletar o máximo possível da forma mais barata possível é o manual operacional de todo esse setor.

O próprio Azdoufal resumiu o absurdo com uma clareza que constrange: “É muito estranho ter um microfone num maldito aspirador.” De fato. Um aspirador não precisaria, a princípio, de microfone para aspirar, nem de uma câmera e nem mesmo de uma conexão permanente com servidores na China. Precisa dessas coisas porque a empresa que o fabrica quer seus dados.

Os seus dados têm valor, os seus padrões de movimento dentro de casa têm valor, o mapa dos seus cômodos tem valor, o áudio capturado enquanto você vive sua vida tem valor. Você pagou para instalar um dispositivo de vigilância dentro da sua própria casa e chamou isso de conveniência.

E o mais delicioso do ponto de vista do absurdo é que foi uma Inteligência Artificial, o Claude Code, que ajudou a revelar como outra empresa de tecnologia estava coletando dados sem controles adequados. A IA virou auditora involuntária do ecossistema que a alimenta.

Scott McNealy disse que privacidade é uma ilusão. Não estava errado. Estava apenas adiantado. Hoje, com sete mil aspiradores respondendo a um único homem com um joystick de PlayStation, a frase ganhou sua tradução mais concreta e mais doméstica possível. Você não tem privacidade. E seu aspirador está varrendo seus segredos para muito além do chão da sua casa.

Pelo menos, é isso o que você sabe até agora. Sua geladeira, seu ar-condicionado e sua Alexa sabem mais de você do que sua vizinha fofoqueira… mas isso até ela arrumar um emprego nestas empresas para saber um tantinho mais de você.