Um problema técnico afetou as câmeras de segurança doméstica da Wyze, permitindo que milhares de usuários vissem dentro de residências alheias, conforme divulgado pela empresa na sexta-feira.
A notícia foi anunciada aos clientes com um e-mail intitulado “Uma importante mensagem de segurança da Wyze”, onde funcionários da empresa reconheceram o incidente e também disseram aos usuários que ele resultou de problemas nos serviços da Amazon Web Services (AWS) que é utilziado pela empresa.
Segundo a empresa, o problema na AWS deixou a Wyze offline por várias horas na manhã de sexta-feira. A violação ocorreu quando as câmeras foram religadas à internet, resultando em alguns clientes visualizando "thumbnails e vídeos de eventos incorretos na guia Eventos", conforme descrito no e-mail. "Removemos imediatamente o acesso à guia Eventos e iniciamos uma investigação."
Cerca de 13.000 usuários da Wyze receberam thumbnails de câmeras de outras pessoas, e desses, 1.504 usuários clicaram nas thumbnails, permitindo que o vídeo de suas próprias câmeras ficasse disponível para outras pessoas.
O e-mail da empresa informava que 99,75% dos clientes não foram afetados pela violação.
A maioria dos cliques "ampliou a thumbnails, mas em alguns casos poderia ter feito com que um vídeo de algum evento fosse visualizado", de acordo com o e-mail, primeiramente relatado pelo The Verge.
O e-mail continuava explicando que o incidente de segurança decorreu de uma "biblioteca de cache de cliente de terceiros que foi recentemente integrada ao nosso sistema. Essa biblioteca de cliente recebeu condições de carga sem precedentes causadas por dispositivos voltando online todos de uma vez."
A empresa explicou que o aumento repentino na demanda fez com que o sistema misturasse IDs de dispositivos de usuário e mapeamento de IDs de usuário, vinculando assim as contas erradas a alguns dados.
"Para garantir que isso não aconteça novamente, adicionamos uma nova camada de verificação antes que os usuários se conectem aos vídeos de eventos", declarou a Wyze no e-mail. "Também modificamos nosso sistema para ignorar o cache para verificações nas relações usuário-dispositivo até identificarmos novas bibliotecas de cliente que sejam extensivamente testadas para eventos extremos como os que experimentamos na sexta-feira."
Em setembro, o The Verge relatou uma violação semelhante nas câmeras Wyze, citando clientes surpresos que descobriram que podiam ver as transmissões de outros usuários, proporcionando-lhes uma visão de dentro de suas casas.
"Consigo clicar na guia de eventos e ver TODOS os eventos na câmera desta pessoa aleatória DENTRO da casa deles", citou o The Verge um comentário do Reddit na época.
A Wyze pediu desculpas aos clientes por este incidente mais recente, dizendo que "não reflete nosso compromisso de proteger os clientes ou reflete os outros investimentos e ações que tomamos nos últimos anos para tornar a segurança uma prioridade máxima na Wyze."
O e-mail também informava que a Wyze "implementou múltiplos processos, criou novos painéis, manteve um programa de recompensa por bugs e estava passando por múltiplas auditorias de terceiros e testes de penetração quando este evento ocorreu."
Via - The Record
Comments