DR
- A Wyze acidentalmente permitiu que até 13.000 usuários vissem brevemente as casas de outros clientes.
- A violação é muito maior do que o inicialmente relatado.
- A empresa afirma que “uma biblioteca cliente de cache de terceiros” é a culpada.
No ano passado, Wyze entrou em apuros depois que proprietários de casas inteligentes relataram que conseguiram ver brevemente feeds de vídeo de câmeras que não possuíam. Há uma semana, o problema surgiu novamente com o cofundador David Crosby afirmando que pelo menos dezenas de pessoas foram afetadas. Estamos agora a descobrir que o número de pessoas afectadas é muito maior do que o inicialmente relatado.
Os clientes da Wyze receberam um e-mail explicando uma interrupção recente e um problema de segurança subsequente. No e-mail, a empresa culpa seu provedor de hospedagem – AWS – pela interrupção que impediu os usuários de acessar câmeras ou eventos ao vivo. Parece que o problema de segurança ocorreu quando a Wyze tentou colocar seus serviços online novamente.
Wyze afirma que uma “biblioteca cliente de cache de terceiros” foi a causa da violação:
O incidente foi causado por uma biblioteca cliente de cache de terceiros que foi recentemente integrada ao nosso sistema. Esta biblioteca cliente recebeu condições de carga sem precedentes causadas por dispositivos voltando a ficar online de uma só vez. Como resultado do aumento da demanda, ele confundiu o mapeamento de ID de dispositivo e ID de usuário e conectou alguns dados a contas incorretas.
A questão de segurança em questão permitiu que alguns usuários vissem as casas de outras pessoas. Alegadamente, cerca de 13.000 usuários foram autorizados a ver miniaturas de outras casas. Além disso, Wyze diz que 1.504 pessoas que tocaram nessas miniaturas puderam ver vídeos gravados nessas casas.
Por sua vez, Wyze diz que “removeu imediatamente o acesso à guia Eventos e iniciou uma investigação”. A empresa acrescenta que, para evitar que o problema aconteça novamente, acrescentou “uma nova camada de verificação” para vídeos de eventos. Além disso, a Wyze diz que “modificou nosso sistema para ignorar o cache para verificações nas relações usuário-dispositivo até identificarmos novas bibliotecas clientes que são exaustivamente testadas quanto ao estresse para eventos extremos como os que vivenciamos na sexta-feira”.
Embora a empresa tenha assumido o erro, isso não impediu os usuários de migrarem para o Reddit para expressar suas frustrações.