Wyze: Nutzer hatten erneut Zugriff auf Kamera-Feeds Dritter
von caschy | 5 Kommentare
Im September 2023 hatte das Unternehmen Wyze schon ein paar Probleme. Einige Besitzer von Wyze-Überwachungskameras berichteten, dass sie Webcam-Feeds sehen konnten, die nicht von ihnen stammten, was bedeutete, dass sie unbeabsichtigt in die Häuser anderer Leute blicken konnten. Wyze bestätigte damals das Problem. Nun hat man wieder eine E-Mail an Kunden senden müssen. Am Freitagmorgen hatte man einen Serviceausfall, der zu einem Sicherheitsvorfall führte.
Die Störung wurde laut Wyze durch Amazons AWS verursacht und hat am frühen Freitagmorgen mehrere Stunden lang Wyze-Geräte lahmgelegt. Wenn Nutzer versucht haben, Live-Kameras oder Ereignisse während dieser Zeit zu sehen, war dies wahrscheinlich nicht möglich.
Während man daran arbeitete, die Kameras wieder online zu bringen, gab es ein Sicherheitsproblem. Einige Benutzer berichteten, dass sie in ihrem Ereignisse-Tab die falschen Miniaturansichten und Ereignisvideos sahen.
Man bestätigt, dass etwa 13.000 Wyze-Benutzer beim Wiederherstellen der Kameras Miniaturansichten von Kameras erhalten haben, die nicht ihnen gehörten, und 1.504 Benutzer auf jene Ansichten geklickt haben. Die meisten Tipps haben nur die Miniaturansicht vergrößert, aber in einigen Fällen konnte ein Ereignisvideo angesehen werden. Alle betroffenen Benutzer wurden benachrichtigt, so Wyze.
Der Vorfall wurde durch eine Drittanbieter-Caching-Client-Bibliothek verursacht, die kürzlich in das System integriert wurde. Diese Client-Bibliothek erhielt ungewöhnlich hohe Lastbedingungen aufgrund von Geräten, die alle auf einmal wieder online gingen. Als Folge der gestiegenen Nachfrage wurden Geräte- und Benutzer-ID-Zuordnungen vermischt und einige Daten wurden an falsche Konten angeschlossen.
Immerhin: Wyze informiert alle Kunden, nicht nur die Betroffenen. So heißt es: „Ihr Konto und über 99,75 % aller Wyze-Konten waren nicht von dem Sicherheitsvorfall betroffen, aber wir wollten Sie über den Vorfall informieren und Ihnen mitteilen, was wir tun, um sicherzustellen, dass es nicht wieder vorkommt.“
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Mülltonne auf – Wyze Device hinein. Mülltonne zu.
Sicherheitsproblem dauerhaft gelöst. 😂
Beim nächsten Kauf ein IOT Gerät / Cam nehmen, die auch ohne Cloud funktioniert.
Wer Audio-/Video-Aufnahmen in eine Hersteller-Cloud überträgt, sollte sich der Risiken bewusst werden. Neben dem möglichen Verlust der Privatsphäre könnte auch die Hardware einen Totalausfall erleiden, wenn sie nur durch Nutzung der Hersteller-Cloud läuft. Ich setze, wo immer möglich, auf lokal funktionierende Geräte. Meine Mobitix-Kameras speichern die Daten im LAN und funktionieren auch, wenn das Internet ausfällt.
Richtig!
Jedoch verstehen viele Endanwender und Käufer das gar nicht, das Sie eine 100% Cloud Lösung gekauft haben. Scannen einen QR Code ein und freien sich das am Smartphone das Bild der eigenen Webcam zu sehen ist.
Die User wo im IT Bereich arbeiten oder sich mit der Technik beschäftigen, fahren eh meist Lokale Lösungen oder sind sich diesem Risiko bewusst. Ich rate auch jedem der mich Fragt von solchen Lösungen ab.
Also muss man sich auf Amazon AWS verlassen, denn wenn das wieder passiert, wollen sich ja wieder alle Kameras einloggen, dann hoffen wir mal dass die Server niemals wegen Updates neu starten müssen oder ausfallen!
Denn was sie nach dem zweiten Vorfall dagegen tun wollen z.B eine Warteschlange einfügen wird ja hier nicht gesagt, aber immerhin registriert deren Telemetrie jeden einzelnen Klick der User und das auch in korrekter Reihenfolge, immerhin! xD
Wenn es technisch überhaupt möglich ist, dass User A Daten von User B sehen kann über seinen eigenen Login, dann ist schon ganz unten am Konzept / der Umsetzung so einiges schief gelaufen (bzw. unterstelle ich: Man hat es sich einfach gemacht)
Ich schließe mich dem Kommentar oben an: Finger weg.