Wyze 之前的技術問題導致其監控攝像頭客戶短暫地看到其他客戶的住所比我們想象的要嚴重得多。 上週,公司聯合創始人D**id Crosby表示:"直到現在",該公司已經證實,有14人短暫地看到了陌生人的財產,因為他們看到了別人的Wyze相機的影象。 現在我們被告知,受影響的使用者數量已激增至 13,000 人。
Wyze 向客戶傳送了一封標題為"來自 Wyze 的重要安全資訊"在電子郵件中,Wyze承認了該漏洞並道歉,同時也試圖將部分責任歸咎於其網路託管服務提供商AWS。
"停電起源於我們的合作夥伴 AWS,導致 Wyze 裝置在周五清晨停機數小時。 如果您嘗試在這段時間內檢視實時攝像機或"事件",很可能無法繼續。 對於由此可能造成的混亂和混亂,我們深表歉意。然而,就在 Wyze 試圖重新啟動相機時,違規行為發生了。 客戶報告說他們在自己的"活動"在標籤中看到了神秘的影象和片段。 Wyze 關閉了對選項卡的訪問並進行了調查。
和以前一樣,Wyze將這一事件歸咎於最近整合到其系統中"第三方快取客戶端庫"。
由於裝置的突然重新引入,客戶群承受著前所未有的負荷。 由於需求增加,它混淆了裝置 ID 和使用者 ID 對映,並將一些資料連線到錯誤的帳戶。但為時已晚,估計有1個30,000人未經授權在陌生人家中偷看縮圖。 Wyze說,有1,504人點選放大縮圖,其中一些人甚至拍了一段視訊**。 Wyze還表示,所有受影響的使用者都已收到安全漏洞的通知,超過99%的客戶沒有受到影響。
Wyze的客戶已經在Reddit和其他網站上表達了他們的憤怒。 乙個自稱是"23歲,女孩"她自己說,當違規行為發生時,Reddit使用者正準備上班"感到噁心和不安"並表示將刪除他們的帳戶。 她說"我感到非常受侵犯。 "
Wyze 正在花時間解決使用者的問題"事件"選項卡檢視**或錄製會在錄製前新增一層驗證。 在電子郵件中,該公司寫道:"我們還修改了系統以繞過快取來檢查使用者和裝置之間的關係,直到我們確定新的客戶端庫,並對周五發生的極端事件進行了徹底的壓力測試。 "
這封電子郵件以更多的道歉結束,包括承認所有這些都是針對大多數使用者的"令人失望的訊息",而不管它們是否受到漏洞的影響。 但這可能不足以避免集體訴訟。
以下是 Wyze 傳送的電子郵件全文:
Wyze之友:周五早上,我們的服務中斷導致了安全事件。 您的帳戶和超過 99 個75% 的 Wyze 帳戶沒有受到此安全事件的影響,但我們希望您能意識到此事件,並讓您知道我們正在採取哪些措施來確保此類事件不再發生。
停電起源於我們的合作夥伴 AWS,導致 Wyze 裝置在周五清晨停機數小時。 如果您在此期間嘗試檢視實時攝像機或事件,則很可能無法這樣做。 對於由此可能造成的混亂和混亂,我們深表歉意。
在努力讓相機重新上線的過程中,我們遇到了乙個安全問題。 一些使用者報告說他們是:"活動"選項卡看到錯誤的縮圖和"活動"。我們立即取消了這對"活動"選項卡並開始調查。
我們現在可以確認,大約有 13,000 名 Wyze 使用者收到了來自不屬於他們自己的攝像頭的縮圖,當攝像頭重新上線時,有 1,504 名使用者點選了它們。 大多數點選都會放大縮圖,但在某些情況下,使用者可以**事件**。 已通知所有受影響的使用者。 您的帳戶不在受影響的帳戶中。
事件的原因是最近整合到我們系統中的第三方快取客戶端庫。 由於裝置一次重新聯機,客戶端庫處於前所未有的負載之下。 由於需求增加,它混淆了裝置 ID 和使用者 ID 對映,並將一些資料連線到錯誤的帳戶。
為了確保這種情況不會再次發生,我們在使用者連線到事件之前新增了乙個新的身份驗證層。 我們還修改了系統以繞過快取來檢查使用者和裝置之間的關係,直到我們確定新的客戶端庫,並對周五發生的極端事件進行了徹底的壓力測試。
我們知道這是乙個非常令人失望的訊息。 這並不反映我們對保護客戶的承諾,也沒有反映我們近年來將安全作為 WYZE 重中之重的其他投資和行動。 在此事件發生時,我們建立了乙個安全團隊,實施了多個流程,建立了新的儀表板,維護了漏洞賞金計畫,並進行了多次第三方審計和滲透測試。
我們必須做得更多更好,我們會的。 對於此次事件,我們深表歉意,並致力於重建您的信任。
如果您對帳戶有任何疑問,請訪問支援wyze.com。
Wyze 團隊。