Wyze承认摄像头漏洞 1.3万名客户误窥他人隐私
2024年2月19日,Wyze此前出现的技术问题致使其监控摄像头客户短暂看到其他客户住宅的问题比我们想象的要严重得多。上周,公司联合创始人大卫-克罗斯比(David Crosby)说,"到目前为止",公司已经确认有14人因为看到了别人Wyze摄像头的图像,而短暂地看到了陌生人的财产。现在我们被告知,受影响的用户数量已激增至13000人。
Wyze向客户发送了一封电子邮件,题为"来自Wyze的重要安全信息",在这封邮件中,Wyze承认了漏洞并道歉,同时还试图将部分责任归咎于其网络托管服务提供商AWS。"此次故障源于我们的合作伙伴AWS,导致Wyze设备在周五清晨宕机数小时。如果您在此期间试图查看实时摄像机或"事件",很可能无法进行。对于由此造成的困扰和混乱,我们深表歉意。
然而,就在Wyze试图重新启动摄像头时,漏洞发生了。客户报告称,他们在自己的"活动"标签页中看到了神秘的图像和视频片段。Wyze关闭了该选项卡的访问权限,并展开了调查。和以前一样,Wyze将这一事件归咎于最近集成到其系统中的"第三方缓存客户端库"。该客户库因设备一下子重新上线而出现了前所未有的负载状况。由于需求增加,它混淆了设备ID和用户ID映射,并将一些数据连接到了错误的账户。
但为时已晚,估计有1.3万人在未经授权的情况下偷看了陌生人家中的缩略图。Wyze称,有1504人点击放大了缩略图,其中有几个人还抓拍到了一段视频。Wyze还称,所有受影响的用户都已收到安全漏洞通知,超过99%的客户没有受到影响。
Wyze客户已经在Reddit和其他网站上表达了他们的愤怒。一位自称是"23岁女孩"的Reddit用户在漏洞发生时正在准备上班,她说自己"感到恶心和不安",并表示将删除自己的账户。她说:"我感觉受到了极大的侵犯。"
Wyze正抓紧时间解决问题,在用户从"事件"选项卡查看图片或录像之前增加了一层验证。该公司在邮件中写道:"我们还修改了系统,绕过缓存来检查用户与设备之间的关系,直到我们确定了新的客户端库,并对周五发生的极端事件进行了彻底的压力测试。"
邮件最后还表达了更多的歉意,包括承认所有这一切对大多数用户来说都是"令人失望的消息",无论他们是否受到漏洞的影响。但这可能还不足以避免由此引发的集体诉讼。
相关阅读
法国电信Orange因违反GPL开源许可协议被判向原开发商赔偿500万元
(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)发布 附全文