最近的 Wyze Camera 漏洞是一个令人毛骨悚然的案例研究,暴露了当一家公司优先考虑可负担性而不是严格的安全措施时存在的漏洞。
无缝智能家居集成的承诺以自动化安全、节能和无与伦比的便利性的愿景吸引着我们。 然而,我们在每台设备和连接上都留下了数字足迹,这可能会让我们面临不可预见的风险。 但 Wyze 相机泄露事件中发生了什么? 让我们更仔细地检查一下。
什么是 Wyze 相机泄露?
Wyze 的成立目标是让智能家居技术惠及大众,凭借提供低成本安全摄像头和其他联网设备而享有盛誉。 其受欢迎程度的迅速上升可以直接归因于其价格竞争力。 然而,严重的 Wyze Camera 漏洞严重凸显了为了预算友好的选项而牺牲安全性的潜在隐性成本。
Wyze 安全漏洞:令人不安的时间表
最初的报告暗示 Wyze 的安全摄像头系统存在令人不安的隐私泄露问题。 然而,与现在全面曝光的问题相比,早期对问题的淡化显得苍白无力。 Wyze 最初建议发生一起小事件,即只有少数客户观看了错误链接到其帐户的敏感镜头。 该公司现在承认,由于 Wyze 相机泄露,大约 13,000 人的隐私受到严重侵犯。
我被某人监视了
byu/H3H3ather inwyzecam
这场灾难的根源在于 Wyze 外部网络托管提供商造成的普通系统中断。 不幸的是,怀兹匆忙恢复了相机功能,这被证明是灾难性的判断失误。 这导致了一个严重的软件缺陷,用户 ID 不匹配,允许客户查看其他 Wyze 相机的缩略图。 令人愤慨的是,至少 1,504 名客户通过放大这些缩略图进一步利用了该漏洞,可能会监视毫无戒心的用户无意中记录的私人时刻。
您可以在下面访问 Wyze 发送给用户的完整电子邮件:
威兹的朋友们,
周五早上,我们发生了一次服务中断,导致了安全事件。 您的帐户以及超过 99.75% 的 Wyze 帐户并未受到安全事件的影响,但我们想让您了解此事件,并让您知道我们正在采取哪些措施来确保此类事件不再发生。
这次中断源自我们的合作伙伴 AWS,并导致 Wyze 设备在周五凌晨关闭了几个小时。 如果您在那段时间尝试查看实时摄像机或事件,您可能无法做到。 对于由此造成的沮丧和困惑,我们深表歉意。
当我们努力使摄像机恢复在线状态时,我们遇到了安全问题。 一些用户报告在“活动”选项卡中看到了错误的缩略图和活动视频。 我们立即删除了对“事件”选项卡的访问权限并开始调查。
我们现在可以确认,随着摄像头重新上线,大约 13,000 名 Wyze 用户收到了来自非自己摄像头的缩略图,并有 1,504 名用户点击了这些缩略图。 大多数点击都会放大缩略图,但在某些情况下可以查看事件视频。 所有受影响的用户均已收到通知。 您的帐户不是受影响的帐户之一。
该事件是由最近集成到我们系统中的第三方缓存客户端库引起的。 该客户端库收到了前所未有的负载状况,该负载状况是由于设备突然恢复在线而造成的。 由于需求增加,它混淆了设备 ID 和用户 ID 映射,并将一些数据连接到不正确的帐户。
为了确保这种情况不再发生,我们在用户连接到活动视频之前添加了新的验证层。 我们还修改了我们的系统,以绕过对用户设备关系检查的缓存,直到我们找到新的客户端库,这些客户端库针对我们周五经历的极端事件进行了彻底的压力测试。
我们知道这是一个非常令人失望的消息。 它并不反映我们对保护客户的承诺,也不反映我们近年来为将安全作为 Wyze 的首要任务而采取的其他投资和行动。 我们建立了一个安全团队,实施了多个流程,创建了新的仪表板,维护了错误赏金计划,并且在该事件发生时正在进行多次第三方审核和渗透测试。
我们必须做得更多、做得更好,我们一定会的。 我们对此次事件深感抱歉,并致力于重建您的信任。
如果您对帐户有疑问,请访问 support.wyze.com。
威兹团队
技术故障和推卸责任
虽然 Wyze 试图将责任归咎于第三方软件库,但此次违规行为的核心责任完全由他们承担。 这个专为性能优化而设计的库在 Wyze 相机大规模恢复上线时不堪重负。 这引发了严重的问题,即 Wyze 是否针对此类情况进行了充分的测试和准备,暴露了对网络安全尽职调查的危险忽视。
客户背叛和社会影响
由于用户表达了可以理解的恐惧和厌恶,Wyze 相机的泄露事件变得更加严重。 信任曾经是任何提供家庭安全解决方案的公司的基石,但现在已经支离破碎。 在线论坛上充斥着隐私被破坏的故事,以及陌生人窥探亲密时刻的可怕感觉。 集体诉讼可能会给 Wyze 日益严重的问题带来严重的财务困境。
这一事件并非凭空存在。 它强调了一种日益增长的、令人不安的趋势,即我们对技术便利的渴望超过了强大的安全考虑。 Wyze Camera 漏洞迫使我们质疑我们在采用价格实惠的智能家居设备时是否愿意接受潜在风险。
争先恐后地寻求解决方案和不确定的未来
Wyze 认识到其品牌受到的损害,并已开始实施纠正措施。 其中包括访问视频历史记录时的新验证保护措施,以及绕过涉及违规的软件库的计划。 道歉信比比皆是,对他们未能保护客户表示深切遗憾。 然而,这些努力的效果仍未得到检验。 忠实的 Wyze 客户会因这场隐私灾难而放弃该品牌吗? 只有时间才能证明该公司能否成功遏制负面客户情绪的蔓延。
Wyze 相机泄露事件对消费者和科技行业来说都是一个警示。 它要求认真审视可访问性和安全性之间的平衡,强调在涉及我们家庭和个人生活的神圣性时,强有力的保护措施必须是不容谈判的。
特色图片来源:Wyze
Source: Wyze 摄像头泄露导致数千人暴露:您需要了解的内容
