Wyze a partagé plus de détails sur un incident de sécurité qui a touché des milliers d’utilisateurs vendredi et a déclaré qu’au moins 13 000 clients pouvaient jeter un coup d’œil chez d’autres utilisateurs.
La société blâme une bibliothèque cliente de mise en cache tierce récemment ajoutée à ses systèmes, qui a eu des problèmes pour gérer un grand nombre de caméras qui sont entrées en ligne en même temps après une panne généralisée vendredi.
Plusieurs clients ont signalé avoir vu les flux vidéo d’autres utilisateurs sous l’onglet Événements de l’application depuis vendredi, certains conseillant même à d’autres clients d’éteindre les caméras jusqu’à ce que ces problèmes persistants soient résolus.
« La panne provenait de notre partenaire AWS et a mis hors service les appareils Wyze pendant plusieurs heures tôt vendredi matin. Si vous avez essayé de visionner des caméras ou des événements en direct pendant cette période, vous n’avez probablement pas pu le faire. Nous sommes vraiment désolés pour la frustration et la confusion que cela a causées », indique la société dans les courriels envoyés aux utilisateurs concernés.
« Alors que nous travaillions à remettre les caméras en ligne, nous avons rencontré un problème de sécurité. Certains utilisateurs ont signalé avoir vu les mauvaises vignettes et vidéos d’événements dans leur onglet Événements. Nous avons immédiatement supprimé l’accès à l’onglet Événements et ouvert une enquête. »
Wyze dit que cela s’est produit en raison de l’augmentation soudaine de la demande et a conduit au mélange des identifiants d’appareils et des mappages d’identifiants d’utilisateurs, provoquant la connexion erronée de certaines données avec des comptes d’utilisateurs incorrects.
Par conséquent, les clients pouvaient voir les vignettes des flux vidéo d’autres personnes et, dans certains cas, même des séquences vidéo après avoir appuyé sur les vignettes de la caméra dans l’onglet Événements de l’application Wyze.
« Nous pouvons maintenant confirmer qu’au fur et à mesure que les caméras revenaient en ligne, environ 13 000 utilisateurs de Wyze ont reçu des vignettes de caméras qui n’étaient pas les leurs et 1 504 utilisateurs les ont tapées dessus. Nous avons identifié votre compte Wyze comme celui qui a été affecté », indique la société dans les courriels envoyés aux utilisateurs concernés.
« Cela signifie que les vignettes de vos événements étaient visibles dans le compte d’un autre utilisateur Wyze et qu’une vignette a été sélectionnée. La plupart des tapotements agrandissaient la vignette, mais dans certains cas, cela aurait pu entraîner la visualisation d’une vidéo d’événement. »
Wyze n’a pas encore communiqué le nombre exact d’utilisateurs dont les flux de vidéosurveillance ont été exposés lors de l’incident.
La société a maintenant ajouté une couche supplémentaire de vérification pour les utilisateurs qui souhaitent accéder au contenu vidéo via l’onglet Événements afin de s’assurer que ce problème ne se reproduira plus à l’avenir.
De plus, il a ajusté les systèmes pour éviter la mise en cache lors des vérifications de la relation utilisateur-appareil jusqu’à ce qu’il puisse basculer vers une nouvelle bibliothèque cliente capable de fonctionner correctement lors d ‘ « événements extrêmes » comme la panne du vendredi.