O defeito da câmera Wyze permitiu que 13.000 usuários espiassem outras casas
20 de Fevereiro de 2024

Wyze compartilhou mais detalhes sobre um incidente de segurança que afetou milhares de usuários na sexta-feira e disse que pelo menos 13.000 clientes puderam ter uma espiada nas casas de outros usuários.

A empresa culpa uma biblioteca de cliente de cache de terceiros recentemente adicionada aos seus sistemas, que teve problemas para lidar com um grande número de câmeras que passaram a funcionar de uma vez depois de uma queda geral na sexta-feira.

Vários clientes têm relatado ver os feeds de vídeo de outros usuários na aba Eventos no aplicativo desde sexta-feira, com alguns até aconselhando outros clientes a desligar as câmeras até que esses problemas contínuos sejam resolvidos.

"O problema teve origem em nosso parceiro AWS e derrubou os dispositivos Wyze por várias horas na madrugada de sexta-feira.

Se você tentou visualizar câmeras ao vivo ou eventos durante esse tempo, provavelmente não conseguiu.

Lamentamos muito a frustração e a confusão que isso causou", diz a empresa em e-mails enviados aos usuários afetados.

"Enquanto trabalhávamos para trazer as câmeras de volta online, tivemos um problema de segurança.

Alguns usuários relataram ver as miniaturas erradas e os vídeos de eventos na aba Eventos.

Removemos imediatamente o acesso à aba Eventos e iniciamos uma investigação."

Wyze afirma que isso aconteceu por causa da súbita demanda aumentada e levou à mistura de IDs de dispositivos e mapeamentos de ID de usuários, causando a conexão errônea de certos dados com contas de usuário incorretas.

Como resultado, os clientes puderam ver as miniaturas do feed de vídeo de outras pessoas e, em alguns casos, até imagens de vídeo depois de tocar nas miniaturas da câmera na aba Eventos do aplicativo Wyze.

"Agora podemos confirmar que, à medida que as câmeras voltavam online, cerca de 13.000 usuários da Wyze receberam miniaturas de câmeras que não eram suas e 1.504 usuários clicaram nelas.

Identificamos sua conta Wyze como uma das afetadas", diz a empresa em e-mails enviados aos usuários afetados.

"Isso significa que as miniaturas dos seus Eventos eram visíveis em outra conta de usuário da Wyze e que uma miniatura foi tocada.

A maioria dos toques ampliava a miniatura, mas em alguns casos poderia ter feito com que um Vídeo de Evento fosse visualizado."

A Wyze ainda não divulgou o número exato de usuários que tiveram seus feeds de vigilância de vídeo expostos no incidente.

A empresa agora adicionou uma camada extra de verificação para usuários que desejam acessar conteúdo de vídeo por meio da aba Eventos para garantir que esse problema não aconteça no futuro.

Além disso, ajustou os sistemas para evitar o cache durante as verificações de relacionamento usuário-dispositivo até que possa mudar para uma nova biblioteca de cliente capaz de trabalhar corretamente durante "eventos extremos" como a falha de sexta-feira.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...