图片来源:
Wyze
专门开发监视器等数位家庭产品的Wyze Labs本周坦承,上周五(2/16)服务临时中断再重启之后,出现了安全问题,使得1.3万名用户可看到来自其它帐号的缩图及监视影片,目前已修复并已采取预防措施,开始寄送邮件通知所有用户。
Wyze解释,此一服务中断事件源自于合作伙伴AWS,让所有Wyze装置在周五凌晨停摆了数小时,在试图将装置重新上线时,有用户发现他们在自己的事件(Events)标签中,看到的是别人的缩图与事件影片(Event Videos),促使该公司展开调查。
调查后确认约有1.3万名用户收到来自别人家监视器的缩图,当中有1,504名用户点选了这些缩图,大多数的点选只会放大缩图,但有一些例子可以直接看到事件影片。整体而言,有0.25%的Wyze帐号受到影响。
Wyze说明,此一安全意外是因该公司最近于系统上整合了一个第三方的快取客户端函式库,然而,它承受不住庞大数量的装置同时重新上线,负载过大令它搞混了装置ID与用户ID,而把某些资料连至错误的帐号。
为了确保此事不再发现,该公司在用户连至事件影片时新增了一层验证机制,也修改系统以绕过快取检查,正在寻找其它可通过压力测试的新快取客户端函式库。
2017年成立的Wyze有许多争议,除了被Johnson Controls子公司Sensormatic与小米控告侵犯专利之外,在2019年曾外泄240万名用户资料,也曾遭资安业者Bitdefender批评不修补可被存取SD卡的安全漏洞。