Wyze此前出現的技術問題致使其監控攝像頭客戶短暫看到其他客戶住宅的問題比我們想象的要嚴重得多。上周,公司聯合創始人大衛-克羅斯比(DavidCrosby)說,"到目前為止",公司已經確認有14人因為看到別人Wyze攝像頭的圖像,而短暫地看到陌生人的財產。現在我們被告知,受影響的用戶數量已激增至13000人。
Wyze 向客戶發送一封電子郵件,題為"來自 Wyze 的重要安全信息",在這封郵件中,Wyze 承認漏洞並道歉,同時還試圖將部分責任歸咎於其網絡托管服務提供商 AWS。
"此次故障源於我們的合作夥伴 AWS,導致 Wyze 設備在周五清晨宕機數小時。如果您在此期間試圖查看實時攝像機或"事件",很可能無法進行。對於由此造成的困擾和混亂,我們深表歉意。
然而,就在 Wyze 試圖重新啟動攝像頭時,漏洞發生。客戶報告稱,他們在自己的"活動"標簽頁中看到神秘的圖像和視頻片段。Wyze 關閉該選項卡的訪問權限,並展開調查。
和以前一樣,Wyze 將這一事件歸咎於最近集成到其系統中的"第三方緩存客戶端庫"。
該客戶庫因設備一下子重新上線而出現前所未有的負載狀況。由於需求增加,它混淆設備 ID 和用戶 ID 映射,並將一些數據連接到錯誤的賬戶。
但為時已晚,估計有 1.3 萬人在未經授權的情況下偷看陌生人傢中的縮略圖。Wyze 稱,有 1504 人點擊放大縮略圖,其中有幾個人還抓拍到一段視頻。Wyze 還稱,所有受影響的用戶都已收到安全漏洞通知,超過 99% 的客戶沒有受到影響。
Wyze 客戶已經在 Reddit 和其他網站上表達他們的憤怒。一位自稱是"23 歲女孩"的 Reddit 用戶在漏洞發生時正在準備上班,她說自己"感到惡心和不安",並表示將刪除自己的賬戶。她說:"我感覺受到極大的侵犯。"
Wyze 正抓緊時間解決問題,在用戶從"事件"選項卡查看圖片或錄像之前增加一層驗證。該公司在郵件中寫道:"我們還修改系統,繞過緩存來檢查用戶與設備之間的關系,直到我們確定新的客戶端庫,並對周五發生的極端事件進行徹底的壓力測試。"
郵件最後還表達更多的歉意,包括承認所有這一切對大多數用戶來說都是"令人失望的消息",無論他們是否受到漏洞的影響。但這可能還不足以避免由此引發的集體訴訟。
以下是 Wyze 發送的電子郵件全文:
Wyze 的朋友們:
周五上午,我們的服務中斷導致一起安全事件。您的賬戶和超過99.75%的Wyze賬戶沒有受到此次安全事件的影響,但我們希望您能解此次事件,並讓您知道我們正在采取哪些措施來確保此類事件不會再次發生。
此次中斷源於我們的合作夥伴 AWS,並導致 Wyze 設備在周五清晨宕機數小時。如果您在此期間試圖查看實時攝像機或事件,很可能無法進行。對於由此造成的困擾和混亂,我們深表歉意。
在我們努力使攝像機重新上線的過程中,我們遇到一個安全問題。一些用戶報告說,他們在"活動"選項卡中看到錯誤的縮略圖和"活動視頻"。我們立即取消對"活動"選項卡的訪問權限,並開始進行調查。
我們現在可以確認,在攝像機重新上線時,約有 13000 名 Wyze 用戶收到來自非自己的攝像機的縮略圖,1504 名用戶點擊這些縮略圖。大多數點擊都放大縮略圖,但在某些情況下,用戶可以觀看事件視頻。已通知所有受影響的用戶。您的帳戶不在受影響帳戶之列。
事件的起因是最近集成到我們系統中的一個第三方緩存客戶端庫。該客戶端庫因設備一次性重新上線而出現前所未有的負載狀況。由於需求增加,它混淆設備 ID 和用戶 ID 映射,並將一些數據連接到錯誤的賬戶。
為確保這種情況不再發生,我們在用戶連接到事件視頻之前增加一層新的驗證。我們還修改系統,繞過緩存來檢查用戶與設備之間的關系,直到我們確定新的客戶端庫,並對周五發生的極端事件進行徹底的壓力測試。
我們知道這是一個非常令人失望的消息。這並不反映我們保護客戶的承諾,也不反映我們近年來將安全作為Wyze首要任務的其他投資和行動。我們建立一個安全團隊,實施多個流程,創建新的儀表板,維持一個漏洞賞金計劃,並在此事件發生時進行多個第三方審計和滲透測試。
我們必須做得更多更好,而且我們一定會做到。我們對此次事件深表歉意,並致力於重建您的信任。
如果您對賬戶有任何疑問,請訪問support.wyze.com。
Wyze 團隊