Lỗ hổng trong camera của Wyze cho phép người dùng có thể xem video từ các ngôi nhà khác
Công ty cho rằng lỗi do thư viện máy khách bộ nhớ đệm của bên thứ ba gần đây đã được thêm vào hệ thống của họ, vốn gặp sự cố khi xử lý một số lượng lớn camera xuất hiện trực tuyến cùng một lúc sau khi ngừng hoạt động trên diện rộng vào hôm 16/02.
Nhiều khách hàng đã báo rằng họ đã xem nguồn cấp dữ liệu video của người dùng khác trong tab Sự kiện trong ứng dụng kể từ hôm 16/02, thậm chí một số khách hàng còn khuyên những khách hàng khác tắt camera cho đến khi những vấn đề đang diễn ra này được khắc phục.
Trong email gửi đến những người dùng bị ảnh hưởng, Wyze cho biết: Sự cố ngừng hoạt động bắt nguồn từ đối tác AWS của công ty và đã làm hỏng các thiết bị của Wyze trong vài giờ vào sáng sớm hôm 16/02. Nếu người dùng cố gắng xem camera hoặc sự kiện trực tiếp trong thời gian đó thì có thể không xem được. Trong nỗ lực đưa camera trở lại trực tuyến, công ty đã gặp phải sự cố bảo mật. Một số người dùng cho biết đã nhìn thấy hình thu nhỏ và video sự kiện trong tab Sự kiện của họ. Công ty đã ngay lập tức xóa quyền truy cập vào tab Sự kiện và bắt đầu điều tra sau đó.
Wyze cho biết điều này xảy ra do nhu cầu tăng đột ngột dẫn đến việc trộn lẫn giữa ánh xạ ID thiết bị và ID người dùng, gây ra lỗi kết nối của một số dữ liệu nhất định với tài khoản người dùng không chính xác. Do đó, khách hàng có thể xem hình thu nhỏ nguồn cấp dữ liệu video của người khác và trong một số trường hợp, thậm chí cả video sau khi nhấn vào hình thu nhỏ của camera trong tab Sự kiện của ứng dụng Wyze.
Ước tính có khoảng 13.000 người dùng đã nhận được hình thu nhỏ từ camera không phải của họ và hơn 1.500 người dùng đã nhấn vào xem chúng.
Điều này có nghĩa là hình thu nhỏ từ Sự kiện của người dùng đã hiển thị trong tài khoản của người dùng Wyze khác và hình thu nhỏ đó đã được nhấn vào. Hầu hết các thao tác nhấn đều phóng to hình thu nhỏ nhưng trong một số trường hợp, điều đó dùng để xem Video sự kiện.
Wyze vẫn chưa chia sẻ chính xác số lượng người dùng đã bị lộ nguồn cấp dữ liệu giám sát video của họ trong vụ việc.
Công ty hiện đã bổ sung thêm một lớp xác minh cho người dùng muốn truy cập nội dung video thông qua tab Sự kiện để đảm bảo rằng sự cố này sẽ không xảy ra trong tương lai. Ngoài ra, công ty còn điều chỉnh hệ thống để tránh lưu vào bộ nhớ đệm trong quá trình kiểm tra mối quan hệ giữa người dùng và thiết bị cho đến khi hệ thống có thể chuyển sang thư viện máy khách mới có khả năng hoạt động chính xác trong các sự cố như mất điện.
Đình Đại
(theo bleepingcomputer)