Wyze承认其摄像头漏洞让1.3万名客户短暂看到别人的家
Wyze承认其摄像头漏洞让1.3万名客户短暂看到别人的家
Wyze 向客户发送了一封电子邮件,题为"来自 Wyze 的重要安全信息",在这封邮件中,Wyze 承认了漏洞并道歉,同时还试图将部分责任归咎于其网络托管服务提供商 AWS。"此次故障源于我们的合作伙伴 AWS,导致 Wyze 设备在周五清晨宕机数小时。如果您在此期间试图查看实时摄像机或"事件",很可能无法进行。对于由此造成的困扰和混乱,我们深表歉意。然而,就在 Wyze 试图重新启动摄像头时,漏洞发生了。客户报告称,他们在自己的"活动"标签页中看到了神秘的图像和视频片段。Wyze 关闭了该选项卡的访问权限,并展开了调查。和以前一样,Wyze 将这一事件归咎于最近集成到其系统中的"第三方缓存客户端库"。该客户库因设备一下子重新上线而出现了前所未有的负载状况。由于需求增加,它混淆了设备 ID 和用户 ID 映射,并将一些数据连接到了错误的账户。但为时已晚,估计有 1.3 万人在未经授权的情况下偷看了陌生人家中的缩略图。Wyze 称,有 1504 人点击放大了缩略图,其中有几个人还抓拍到了一段视频。Wyze 还称,所有受影响的用户都已收到安全漏洞通知,超过 99% 的客户没有受到影响。Wyze 客户已经在 Reddit 和其他网站上表达了他们的愤怒。一位自称是"23 岁女孩"的 Reddit 用户在漏洞发生时正在准备上班,她说自己"感到恶心和不安",并表示将删除自己的账户。她说:"我感觉受到了极大的侵犯。"Wyze 正抓紧时间解决问题,在用户从"事件"选项卡查看图片或录像之前增加了一层验证。该公司在邮件中写道:"我们还修改了系统,绕过缓存来检查用户与设备之间的关系,直到我们确定了新的客户端库,并对周五发生的极端事件进行了彻底的压力测试。"邮件最后还表达了更多的歉意,包括承认所有这一切对大多数用户来说都是"令人失望的消息",无论他们是否受到漏洞的影响。但这可能还不足以避免由此引发的集体诉讼。以下是 Wyze 发送的电子邮件全文:Wyze 的朋友们:周五上午,我们的服务中断导致了一起安全事件。您的账户和超过99.75%的Wyze账户没有受到此次安全事件的影响,但我们希望您能了解此次事件,并让您知道我们正在采取哪些措施来确保此类事件不会再次发生。此次中断源于我们的合作伙伴 AWS,并导致 Wyze 设备在周五清晨宕机数小时。如果您在此期间试图查看实时摄像机或事件,很可能无法进行。对于由此造成的困扰和混乱,我们深表歉意。在我们努力使摄像机重新上线的过程中,我们遇到了一个安全问题。一些用户报告说,他们在"活动"选项卡中看到了错误的缩略图和"活动视频"。我们立即取消了对"活动"选项卡的访问权限,并开始进行调查。我们现在可以确认,在摄像机重新上线时,约有 13000 名 Wyze 用户收到了来自非自己的摄像机的缩略图,1504 名用户点击了这些缩略图。大多数点击都放大了缩略图,但在某些情况下,用户可以观看事件视频。已通知所有受影响的用户。您的帐户不在受影响帐户之列。事件的起因是最近集成到我们系统中的一个第三方缓存客户端库。该客户端库因设备一次性重新上线而出现了前所未有的负载状况。由于需求增加,它混淆了设备 ID 和用户 ID 映射,并将一些数据连接到了错误的账户。为了确保这种情况不再发生,我们在用户连接到事件视频之前增加了一层新的验证。我们还修改了系统,绕过缓存来检查用户与设备之间的关系,直到我们确定了新的客户端库,并对周五发生的极端事件进行了彻底的压力测试。我们知道这是一个非常令人失望的消息。这并不反映我们保护客户的承诺,也不反映我们近年来将安全作为Wyze首要任务的其他投资和行动。我们建立了一个安全团队,实施了多个流程,创建了新的仪表板,维持了一个漏洞赏金计划,并在此事件发生时进行了多个第三方审计和渗透测试。我们必须做得更多更好,而且我们一定会做到。我们对此次事件深表歉意,并致力于重建您的信任。如果您对账户有任何疑问,请访问support.wyze.com。Wyze 团队 ...
PC版:
手机版:
