Wyze-Kameras ermöglichten 13.000 Menschen unbefugte Einblicke in die Häuser von Fremden

Bei Wyze-Kameras kam es am Freitag zu einem Fehler, der 13.000 Kunden Zugriff auf Bilder und in einigen Fällen auch Videos von Wyze-Kameras verschaffte, die ihnen nicht gehörten. Das Unternehmen behauptet, 99,75 Prozent der Konten seien nicht betroffen, aber bei einigen beseitigt diese Enthüllung nicht das Gefühl von „Ekel“ und Besorgnis.

Wyze behauptet, dass Kunden aufgrund eines Ausfalls am Freitag stundenlang Kameraaufnahmen nicht ansehen konnten. Wyze hat den Ausfall auf ein Problem mit einem nicht genannten Amazon Web Services (AWS)-Partner zurückgeführt, hat jedoch keine Einzelheiten genannt.

Am Montagmorgen verschickte Wyze E-Mails an Kunden, darunter auch an diejenigen, die laut Wyze nicht betroffen waren, und informierte sie darüber, dass der Ausfall dazu geführt habe, dass 13.000 Menschen auf Daten von Kameras von Fremden zugreifen konnten, wie The Verge berichtete .

Per Wyzes E-Mail:

Wir können jetzt bestätigen, dass etwa 13.000 Wyze-Benutzer Miniaturansichten von Kameras erhielten, die nicht ihre eigenen waren, als die Kameras wieder online gingen, und 1.504 Benutzer darauf tippten. Bei den meisten Klicks wurde das Miniaturbild vergrößert, in einigen Fällen konnte jedoch ein Ereignisvideo angezeigt werden.. ..

Laut Wyze berichteten Benutzer, dass beim Versuch, die Kameras nach dem Ausfall am Freitag wieder online zu bringen, Miniaturansichten und Ereignisvideos angezeigt wurden, die nicht von ihren eigenen Kameras stammten. Wyzes E-Mails hinzugefügt:

Der Vorfall wurde durch eine Caching-Client-Bibliothek eines Drittanbieters verursacht, die kürzlich in unser System integriert wurde. In dieser Client-Bibliothek kam es zu beispiellosen Lastbedingungen, die dadurch verursacht wurden, dass Geräte auf einmal wieder online gingen. Aufgrund der erhöhten Nachfrage wurden Geräte-ID und Benutzer-ID-Zuordnung verwechselt und einige Daten mit falschen Konten verknüpft.

Als Reaktion auf Kunden, die berichteten, dass sie Bilder von Kameras von Fremden betrachteten, sagte Wyze, es habe Kunden daran gehindert, die Registerkarte „Ereignisse“ zu verwenden, und dann eine zusätzliche Verifizierungsebene erforderlich gemacht, um auf den Abschnitt „Ereignisvideos“ der Wyze-App zugreifen zu können. David Crosby, Mitbegründer und CMO von Wyze, sagte außerdem , dass Wyze am Freitag Personen abgemeldet habe, die die Wyze-App verwendet hätten, um Token zurückzusetzen.

In den E-Mails von Wyze hieß es außerdem, dass das Unternehmen sein System geändert habe, „um das Caching zur Überprüfung der Benutzer-Geräte-Beziehungen zu umgehen, bis [es] neue Client-Bibliotheken identifiziert, die einem gründlichen Stresstest auf extreme Ereignisse unterzogen werden“, wie sie am Freitag aufgetreten sind.