五个月前,我们写过你的Wyze网络摄像头可能会让陌生人窥视你的房子。今天,这种事又发生了。Wyze的联合创始人大卫·克罗斯比证实,至少有十几名用户能够短暂地看到陌生人的财产,因为他们看到了别人的相机拍摄的图像。
“我们现在已经发现了一个安全问题,一些用户可以在事件选项卡中看到不是他们自己的相机的缩略图,”他告诉the Verge。
在一次长时间的宕机之后(Wyze说宕机是由于AWS的问题),我们发现10个不同的reddit用户报告说,他们的Wyze应用程序向他们展示了他们不应该看到的图片——包括陌生人的门廊,有时甚至是客厅。有些视频来自完全不同的时区。
“我的一个相机通知我,别人家里发生了一件事,他们穿着相机四处走动,”一篇帖子开头写道。“我刚收到一个动作检测通知,上面有一张别人家的照片,那不是我的!”另一条写道。
“我可以看到一个我没有许可的随机摄像头,”Wyze论坛上的一个类似帖子写道。“我没有相机的通知警报,”第二个开始说。6名用户在其他人的Reddit帖子下评论说,他们也看到了这些图片弹出。
与之前的事件相比,Wyze今天似乎采取了更透明的策略,到目前为止,它表示只知道与我们发现的报告数量相似的报告。
“到目前为止,我们已经收集了14份发生这种情况的报告,但我们目前正在确定所有受影响的用户……我们还将向所有Wyze用户发送通知,解释发生了什么。”他将这个问题与今天早上AWS宕机后用户数据的过载和损坏联系起来,并表示Wyze没有连接实时feed或将视频发送给错误的用户,只是发出了警告缩略图。
我们已经要求亚马逊确认AWS的问题是否与此有关;在Wyze相机出现这些问题期间,AWS没有报告中断。
克罗斯比写道:“一看到这些报告,我们就关闭了Events选项卡。“然后,我们在每个用户看到缩略图之前为他们添加了额外的验证层。为了更加安全,我们现在强制注销所有今天使用Wyze应用程序重置令牌的用户,”他补充道。你可以在这篇文章的底部阅读他的邮件全文。
在周五中午左右最初的中断缓解后,缩略图问题开始出现,正如公司在美国东部时间下午1:07分报告的那样,“我们仍在调查事件标签的问题,并将很快发布另一个更新,提供进一步的信息,”但没有解释这个问题。
在美国东部时间下午2点27分,该公司完全关闭了事件标签:“我们暂时禁用了Wyze应用程序中的事件标签,以调查可能的安全问题,并将很快恢复,”它在一份服务咨询中写道。当时,该公司仍未提及问题可能是什么。
我们在一天中的不同时间点指出Wyze的透明度或缺乏透明度是有原因的。两年前,我告诉过你,Wyze如何将一个安全漏洞掩盖了三年,从未通知客户,他们无法修补的v1摄像机理论上可能会让黑客通过互联网访问视频源,或者后来的摄像机需要打补丁来防止同样的事情。
当然,这已经是第二次因为Wyze的错误而让陌生人窥探别人的房子了。在安全问题上,哪怕只发生一次,都是一种大罪;如果是两次,可能很难重新获得信任。
去年9月,在我们报道了之前的问题后,《纽约时报》公开停止推荐Wyze相机,并指出Wyze从未联系过客户,也没有“提供有关事件的有意义的细节”,一些客户看到了别人的家。
Wyze首席营销官Dave Crosby:
更新:今天早上AWS宕机后,我们的服务器过载,导致一些用户数据损坏。我们现在已经确定了一个安全问题,一些用户能够在事件选项卡中看到不是他们自己的相机的缩略图。幸运的是,他们无法查看直播流或观看这些视频,只能看到缩略图。
到目前为止,我们已经收集了14份这样的报告,但我们目前正在识别所有受影响的用户。这些受影响的用户将尽快得到通知。我们还将向所有Wyze用户发送通知,解释发生了什么。
一看到这些报告,我们就打开了Events选项卡。然后,在每个用户看到缩略图之前,我们为他们添加了额外的验证层。为了更加安全,我们现在强制注销所有今天使用Wyze应用程序重置令牌的用户。
一旦我们完成调查,我们将更详细地解释这是如何发生的,我们将采取进一步的措施,确保它不会再次发生。对于今天给您带来的不便,我们再次表示歉意。感谢所有帮助报告事故并帮助设备重新上线的人。我们向所有受影响的人致以最深切的歉意。
美国东部时间2月16日晚上8点11分更新:Wyze联合创始人Dave Crosby确认并详细说明了这个问题。
