Wyze, noto produttore di telecamere di sicurezza, ha recentemente affrontato un grave problema di sicurezza che ha permesso a circa 13.000 utenti di accedere brevemente alle immagini di altri clienti. Questa violazione, più ampia di quanto inizialmente riportato, ha messo in luce le sfide legate alla sicurezza e alla privacy nel settore dei dispositivi smart home.
Dettagli della violazione
La violazione è stata causata da un “client di caching di terze parti” recentemente integrato nel sistema di Wyze, che, a seguito di un carico di lavoro senza precedenti causato dal ritorno online simultaneo di dispositivi, ha confuso il mapping tra ID dispositivo e ID utente, collegando alcuni dati agli account sbagliati. Di conseguenza, un numero stimato di 13.000 utenti ha potuto visualizzare le miniature di altre abitazioni, e 1.504 persone, toccando queste miniature, hanno potuto vedere video provenienti da queste abitazioni.
Wyze ha attribuito in parte la colpa del problema al proprio fornitore di hosting web, AWS, per l’interruzione che ha impedito agli utenti di accedere alle telecamere in diretta o agli Eventi, ma il problema di sicurezza si è verificato nel tentativo di riattivare le telecamere.
Misure adottate da Wyze
In risposta, Wyze ha immediatamente rimosso l’accesso alla scheda Eventi e avviato un’indagine. Per prevenire ulteriori incidenti, l’azienda ha aggiunto un nuovo livello di verifica per i video degli eventi e modificato il proprio sistema per bypassare la cache nei controlli sulle relazioni utente-dispositivo fino all’identificazione di nuove librerie client adeguatamente testate.
Ecco l’e-mail completa di Wyze:
Amici di Wyze,
Venerdì mattina si è verificata un’interruzione del servizio che ha provocato un incidente di sicurezza. Il tuo account e oltre il 99,75% di tutti gli account Wyze non sono stati interessati dall’evento di sicurezza, ma volevamo informarti dell’incidente e farti sapere cosa stiamo facendo per assicurarci che non si ripeta.
L’interruzione ha avuto origine dal nostro partner AWS e ha bloccato i dispositivi Wyze per diverse ore venerdì mattina presto. Se hai provato a visualizzare le telecamere o gli eventi in tempo reale durante quel periodo, probabilmente non sei riuscito a farlo. Siamo molto dispiaciuti per la frustrazione e la confusione che ciò ha causato.
Mentre lavoravamo per riportare online le telecamere, abbiamo riscontrato un problema di sicurezza. Alcuni utenti hanno segnalato di aver visto miniature e video degli eventi errati nella scheda Eventi. Abbiamo immediatamente rimosso l’accesso alla scheda Eventi e avviato un’indagine.
Ora possiamo confermare che mentre le fotocamere tornavano online, circa 13.000 utenti Wyze hanno ricevuto miniature da fotocamere che non erano le loro e 1.504 utenti le hanno toccate. La maggior parte dei tocchi ha ingrandito la miniatura, ma in alcuni casi è stato possibile visualizzare un video dell’evento. Tutti gli utenti interessati sono stati avvisati. Il tuo account non era uno degli account interessati.
L’incidente è stato causato da una libreria client di memorizzazione nella cache di terze parti che è stata recentemente integrata nel nostro sistema. Questa libreria client ha ricevuto condizioni di carico senza precedenti causate dal ritorno online dei dispositivi contemporaneamente. A causa dell’aumento della domanda, ha confuso l’ID del dispositivo e la mappatura dell’ID utente e ha collegato alcuni dati ad account errati.
Per assicurarci che ciò non accada di nuovo, abbiamo aggiunto un nuovo livello di verifica prima che gli utenti si connettano ai video degli eventi. Abbiamo anche modificato il nostro sistema per bypassare la memorizzazione nella cache per i controlli sulle relazioni utente-dispositivo finché non identifichiamo nuove librerie client che vengono accuratamente sottoposte a stress test per eventi estremi come quello sperimentato venerdì.
Sappiamo che questa è una notizia molto deludente. Ciò non riflette il nostro impegno a proteggere i clienti né rispecchia gli altri investimenti e azioni che abbiamo intrapreso negli ultimi anni per rendere la sicurezza una priorità assoluta per Wyze. Abbiamo creato un team di sicurezza, implementato più processi, creato nuove dashboard, mantenuto un programma di bug bounty e stavamo sottoponendoci a numerosi audit e test di penetrazione di terze parti quando si è verificato questo evento.
Dobbiamo fare di più ed essere migliori, e lo faremo. Siamo così dispiaciuti per questo incidente e ci impegniamo a ricostruire la tua fiducia.
Se hai domande sul tuo account, visita support.wyze.com .
Nonostante Wyze abbia assunto la responsabilità dell’incidente, molti clienti hanno espresso la loro frustrazione e preoccupazione per la privacy su piattaforme come Reddit. Questo incidente solleva interrogativi significativi sulla sicurezza dei dispositivi smart home e sulla fiducia degli utenti nelle tecnologie che invitano nelle loro case.