Компания Wyze Labs поделилась новыми подробностями об инциденте с камерами наблюдения, который произошел в конце прошлой недели. Оказалось, не менее 13 000 человек получили доступ к чужим устройствам и трансляциям.
Напомним, что ранее пользователи камер наблюдения Wyze Labs столкнулись с серьезными проблемами. Многочасовой сбой, начавшийся 16 февраля 2024 года, привел к тому, что камеры исчезали из приложения Wyze и сообщали об ошибках при попытке подключения. При этом многие пользователи обнаружили, что имеют доступ к чужим девайсам.
Ранее представители Wyze Labs объясняли происходящее «проблемами со связью с AWS», а также утверждали, что на самом деле пользователи видели только превью чужих трансляций, подчеркивая, что было выявлено лишь 14 сообщений о подобных ситуациях. При этом вкладка «События» (Events) в приложении Wyze была временно отключена, так как Wyze Labs изучала некую «вероятную проблему безопасности».
Как стало известно теперь, реальный масштаб произошедшего был куда серьезнее. Теперь разработчики Wyze Labs обвинили в случившемся неназванную стороннюю клиентскую библиотеку для кэширования, недавно добавленную в системы компании.
«Перебои возникли у нашего партнера AWS, и утром пятницы это привело к отключению устройств Wyze на несколько часов. Если вы пытались просматривать камеры или события в режиме реального времени в этот период, то, скорее всего, не могли этого сделать. Мы очень сожалеем о причиненном беспокойстве и возникших недоразумениях, — говорится в письмах, которые компания направила пострадавшим пользователям. — В процессе восстановительных работ мы столкнулись с проблемой безопасности. Некоторые пользователи сообщили, что видят чужие превью и видеозаписи событий на вкладке “События”. Мы немедленно отключили доступ к вкладке “События” и начали расследование».
По словам Wyze, сбой произошел из-за внезапно возросшей нагрузки, упомянутая клиентская библиотека дала сбой, что привело к смешению ID устройств и маппинга ID пользователей, из-за чего определенные данные оказались ошибочно связаны с неверными учетными записями. В результате люди могли видеть превью чужих трансляций, а в некоторых случаях, даже сами видеоматериалы (после нажатия на превью во вкладке «События»).
«Мы можем подтвердить, что на момент восстановления работы камер около 13 000 пользователей Wyze получили доступ к превью чужих камер, и 1504 пользователя кликнули на них, — сообщает компания. — Мы определили, что ваша учетная запись была затронута. Это означает, что превью ваших событий были видны в аккаунте другого пользователя Wyze, и по миниатюре кликнули. В большинстве случаев нажатие лишь увеличивало миниатюру, но в ряде случаев это могло привести к просмотру видеозаписи события».
Пока Wyze не сообщает точное количество пользователей, чьи записи с камер оказались раскрыты третьим лицам в результате инцидента.
В компании говорят, что добавили дополнительный уровень верификации для пользователей, которые хотят получить доступ к видеоконтенту через вкладку «События», чтобы исключить подобные проблемы в будущем. Кроме того, Wyze Labs заявляет, что перенастроила свои системы, чтобы избежать кэширования во время проверок user-device, пока компания не перейдет на новую клиентскую библиотеку, способную корректно работать в «экстремальных ситуациях».
