丰色 发自 凹非寺

量子位 | 公众号 QbitAI

安在家里的摄像头出现系统故障,隐私被别人“偷窥”——

令人担心的事情真的发生了。

美国一家知名智能家居公司被曝:

有不少用户在登录该司摄像头监控平台时,惊讶地发现上面出现了别人家的画面

有多少人因此“误窥”他人隐私?

13000+。 波及范围可谓相当之广,使得这起事件在各大网站上都闹得沸沸扬扬。

然而让人感到离谱的是,官方却甩锅第三方,称事故发生原因是:

大量设备同时上线导致负载激增,所使用的第三方缓存库弄错了设备ID和用户ID的映射关系,从而导致部分画面错误地进入了别人的账户。

对此,有不买账的网友愤而删除账户,弃用产品。

1万+摄像头连上别人家

涉事公司名叫Wyze

事故本身其实先是该司旗下的摄像头突然信号中断无法使用,具体表现就是无法登录,或者登录上的设备莫名离线。

官方紧急上线维修,很快发现是“AWS那边的服务出现问题”

等了几个小时终于恢复之后,一些用户就火速上线,结果却让人大吃一惊——

在Wyze摄像头配套的监控平台上,有一个叫做“事件”的选项卡,里面会存储摄像头捕捉到的各种“风吹草动”。

这些用户发现,里面提供的图像或者视频压根儿不是自己家的。

Wyze这边,一开始报告称只有14人出现了这个bug。

然而最后统计发现,足足13000+客户都看到了不该看的他人隐私。

特别值得一提的是,摄像头系统给出的是缩略图形式,有1504人点击了放大,看到了清晰的图像(部分人则看到了视频)。

也就是说,有很大一部分人在未经同意的情况下被人浏览了隐私。

这事说小可不小,为此,事件发生之后,Wyze一不做二不休,直接禁用“事项”选项卡功能并进行调查。

原因也很快公布。

怎么个事儿呢?第三方缓存库的锅

具体而言,Wyze解释:

当时不是系统整体信号中断大家都无法使用吗,后来修好了,就有一大堆设备同时恢复在线,这样就造成了系统过载。

系统一过载,设备ID和用户ID之间的映射就出错了,这才导致一些账户连接到了错误的摄像头。

那为什么映射会出错?都是因为我们最近才集成到系统中的一个第三方缓存库。

为了表达歉意,官方给这起事件中受不同影响的用户分别发送了邮件,包括缩略图被别人看到了的、只能查看别人的缩略图但自己的没有泄漏的……

在一一解释之后,Wyze表示为了确保此类情况不再发生,已在用户查看“事件”时加强验证,并修改了系统流程,进行了压力测试,在遇到类似“极端情况”时不会出错。

然而,一些用户并不买帐,称“负载增加应该是延长响应时间才对,怎么会导致数据库混淆呢”。

一位平日将该摄像头用于监控宠物的女子则在收到邮件后才得知自己被影响了,感到很不爽的她删除了该产品账户并停止使用。

并非“初犯”

据了解,涉事公司Wyze由三位亚马逊前员工于2017年创办,成立没多久便在美国网络摄像头市场占有一席之地。

2022年,Wyze还入选了《时代》“最具影响力的公司之一”。

然而,这并不是该司第一次发生类似事故。

就在去年,Wyze被曝黑客能直接访问该司摄像机SD卡上存储的视频。

然而,Wyze其实很早就知道有这么一个漏洞,却拖了三年才给修复。

更早一点,2019年之时,Wyze更是遭遇超大规模安全漏洞,导致超过240万用户的个人数据被泄漏。

加上今天的事儿再一出,有网友也再次呼吁:

别在把家里的实时摄像传输到云端了,能本地就本地吧。

实在不行能不安在家安摄像头就不安吧。

你觉得呢?

参考链接:

[1]https://9to5google.com/2024/02/19/wyze-camera-thumbnails-breach/

[2]https://www.reddit.com/r/gadgets/comments/1ausipk/wyze_says_camera_breach_let_13000_customers/

声明:本文来自量子位,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。