【卸得就卸】Wyze監控鏡頭介面存安全問題 驚見其他用家鏡頭畫面
以高 CP 值見稱的監控鏡頭品牌 Wyze,上月中突然發生大規模的服務中斷,官方好快作出回應話事件主要同提供網絡服務的 AWS 有關,不過在恢復服務過程中又發現其他網絡安全問題,有不少用家發現竟然可看到其他用家的鏡頭畫面!經過多日調查,Wyze 方面再次作出回應,指問題出在新採用的第三方緩存客戶資料庫無法處理龐大連線,言下之意,似乎只想表示同自己無關……
官方稱事故與 AWS 有關
Wyze 監控鏡頭集體斷網事件發生在上月中,由於偵測到系統出現異常,導致用家無法使用服務,因此 Wyze 方面在當日早上六點已在官網發出故障通知,並且在一小時內於網誌說明事故與服務供應商 AWS 有關,正與對方的技術人員一起解決問題。
雖然官方持續在網站更新回復進度,但在早上十點左右,突然宣布要暫停產品操作介面的 Event 功能,其後又表示與發現安全問題有關,但就未有再細述詳情。不過,有用家就在網上投訴,驚嚇地說竟能在 Wzye 軟件的操作介面 Event 頁面中,看到不屬於自己監控鏡頭的影像,雖然只是一幅預覽圖,但亦擔心自己的畫面會被其他用家看到。
事故內容曝光,Wyze 方面在翌日亦發布更多資料,回應說初步調查發現的確在部分用家的操作介面上會見到其他用家的預覽畫面,所幸這些畫面在點擊後未能放大及播放,暗示對用家的影響不算大,而且官方已即時為打開儲存的影片手續加多一重驗證,以及強制所有用家登出系統,注銷用家使用中的驗證 token。
部分情況可播放其他用家的儲存影片
以為事件已告一段落,只待 Wyze 與 AWS 合作修復所有受影響用家,但原來還有後續。Wyze 再發表最新報告,除了繼續標明事件源頭出在 AWS 未能提供服務外,再解釋為何會出現安全事故,官方指當大規模用家斷網後,Wyze 雖然即時與 AWS 搶修,讓用家盡快可以使用服務,但由於公司新採用的第三方緩存客戶資料庫無法應付同一時間的大量登入,導致用家與產品 ID 的配對發生問題,因此系統才會錯誤地將用家的 Event 預覽圖顯示在其他用家的帳戶內,現時發現約有 13,000 個用家受到影響。
而在發給受影響用家的電郵中,官方指約有 1,504 個用家嘗試點擊 Event 預覽圖,如果根據官方早前的解釋,點擊圖片只能放大觀看,但在這封電郵中卻指出有部分情況是點擊圖片後可播放儲存的影片!至於有多少用家的影片曾被偷看?暫時官方就沒有再提供更多數字。如果大家都是 Wyze 監控鏡頭的用家,就要留意信箱有否這封電郵,以便進一步向官方追查外洩影片的詳情。
資料來源:https://www.bleepingcomputer.com/news/security/wyze-camera-glitch-gave-13-000-users-a-peek-into-other-homes 及 https://www.bleepingcomputer.com/news/security/wyze-investigating-security-issue-amid-ongoing-outage/