Wyze 之前的技术问题导致其监控摄像头客户短暂地看到其他客户的住所比我们想象的要严重得多。 上周,公司联合创始人D**id Crosby表示:"直到现在",该公司已经证实,有14人短暂地看到了陌生人的财产,因为他们看到了别人的Wyze相机的图像。 现在我们被告知,受影响的用户数量已激增至 13,000 人。
Wyze 向客户发送了一封标题为"来自 Wyze 的重要安全信息"在电子邮件中,Wyze承认了该漏洞并道歉,同时也试图将部分责任归咎于其网络托管服务提供商AWS。
"停电起源于我们的合作伙伴 AWS,导致 Wyze 设备在周五清晨停机数小时。 如果您尝试在这段时间内查看实时摄像机或"事件",很可能无法继续。 对于由此可能造成的混乱和混乱,我们深表歉意。然而,就在 Wyze 试图重新启动相机时,违规行为发生了。 客户报告说他们在自己的"活动"在标签中看到了神秘的图像和片段。 Wyze 关闭了对选项卡的访问并进行了调查。
和以前一样,Wyze将这一事件归咎于最近集成到其系统中"第三方缓存客户端库"。
由于设备的突然重新引入,客户群承受着前所未有的负荷。 由于需求增加,它混淆了设备 ID 和用户 ID 映射,并将一些数据连接到错误的帐户。但为时已晚,估计有1个30,000人未经授权在陌生人家中偷看缩略图。 Wyze说,有1,504人点击放大缩略图,其中一些人甚至拍了一段视频**。 Wyze还表示,所有受影响的用户都已收到安全漏洞的通知,超过99%的客户没有受到影响。
Wyze的客户已经在Reddit和其他网站上表达了他们的愤怒。 一个自称是"23岁,女孩"她自己说,当违规行为发生时,Reddit用户正准备上班"感到恶心和不安"并表示将删除他们的帐户。 她说"我感到非常受侵犯。 "
Wyze 正在花时间解决用户的问题"事件"选项卡查看**或录制会在录制前添加一层验证。 在电子邮件中,该公司写道:"我们还修改了系统以绕过缓存来检查用户和设备之间的关系,直到我们确定新的客户端库,并对周五发生的极端事件进行了彻底的压力测试。 "
这封电子邮件以更多的道歉结束,包括承认所有这些都是针对大多数用户的"令人失望的消息",而不管它们是否受到漏洞的影响。 但这可能不足以避免集体诉讼。
以下是 Wyze 发送的电子邮件全文:
Wyze之友:周五早上,我们的服务中断导致了安全事件。 您的帐户和超过 99 个75% 的 Wyze 帐户没有受到此安全事件的影响,但我们希望您能意识到此事件,并让您知道我们正在采取哪些措施来确保此类事件不再发生。
停电起源于我们的合作伙伴 AWS,导致 Wyze 设备在周五清晨停机数小时。 如果您在此期间尝试查看实时摄像机或事件,则很可能无法这样做。 对于由此可能造成的混乱和混乱,我们深表歉意。
在努力让相机重新上线的过程中,我们遇到了一个安全问题。 一些用户报告说他们是:"活动"选项卡看到错误的缩略图和"活动"。我们立即取消了这对"活动"选项卡并开始调查。
我们现在可以确认,大约有 13,000 名 Wyze 用户收到了来自不属于他们自己的摄像头的缩略图,当摄像头重新上线时,有 1,504 名用户点击了它们。 大多数点击都会放大缩略图,但在某些情况下,用户可以**事件**。 已通知所有受影响的用户。 您的帐户不在受影响的帐户中。
事件的原因是最近集成到我们系统中的第三方缓存客户端库。 由于设备一次重新联机,客户端库处于前所未有的负载之下。 由于需求增加,它混淆了设备 ID 和用户 ID 映射,并将一些数据连接到错误的帐户。
为了确保这种情况不会再次发生,我们在用户连接到事件之前添加了一个新的身份验证层。 我们还修改了系统以绕过缓存来检查用户和设备之间的关系,直到我们确定新的客户端库,并对周五发生的极端事件进行了彻底的压力测试。
我们知道这是一个非常令人失望的消息。 这并不反映我们对保护客户的承诺,也没有反映我们近年来将安全作为 WYZE 重中之重的其他投资和行动。 在此事件发生时,我们建立了一个安全团队,实施了多个流程,创建了新的仪表板,维护了漏洞赏金计划,并进行了多次第三方审计和渗透测试。
我们必须做得更多更好,我们会的。 对于此次事件,我们深表歉意,并致力于重建您的信任。
如果您对帐户有任何疑问,请访问支持wyze.com。
Wyze 团队。