專門開發監視器以及各式各樣的數位家庭產品的Wyze Labs在本週向公眾坦承,上周五(2/16)他們的服務在短時間內中斷並再次重啟之後,出現了一個嚴重的安全問題。這項問題導致大約1.3萬名用戶能夠看到來自其他帳號的縮圖以及監視影片。他們已經立即修復了這個問題,並且採取了一些必要的預防措施。他們也開始著手寄發郵件通知所有的用戶,詳述了事件的經過以及他們未來將如何防範這類事件再次發生。
Wyze透露,這次服務中斷事件的主因在於他們的合作夥伴AWS。在上周五的凌晨時分,所有的Wyze裝置都暫時停擺了數小時。當他們試圖將所有的裝置重新連接上線時,有一些用戶發現他們在自己的事件(Events)標籤中,看到的縮圖和事件影片(Event Videos)不是自己的,而是其他人的。這個驚人的發現促使該公司立即展開調查。
經過調查後,他們確認了大約有1.3萬名用戶收到了來自其他人家中監視器的縮圖。其中,有1,504名用戶點選了這些縮圖。大部分的點選行為只會導致縮圖放大,但也有一些例子可以直接看到完整的事件影片。整體而言,約有0.25%的Wyze帳號受到了這次事件的影響。
Wyze表示,這次的安全意外主要是因為他們最近在系統上整合了一個第三方的快取客戶端函式庫。然而,此函式庫無法承受大量的裝置同時重新上線,結果負載過大,導致它混淆了裝置ID與用戶ID,進而把某些資料錯誤地連結到了錯誤的帳號。
為了確保這種情況不再發生,該公司在用戶連至事件影片時新增了一層額外的驗證機制。他們也修改了系統以繞過快取檢查,並且正在尋找其他可以通過壓力測試的新快取客戶端函式庫。
2017年成立的Wyze在過去數年中有許多爭議。除了被Johnson Controls的子公司Sensormatic以及小米控告侵犯專利之外,他們在2019年曾經外洩了240萬名用戶的個人資料。此外,他們也曾經被資安業者Bitdefender批評,指出他們沒有及時修補一個可能被用來存取SD卡內容的安全漏洞。
Source : iThome