Wyze-camera’s onthullen onbedoeld privéleven van 13.000 gebruikers

Wyze schrijft dat de beveiligingsperikelen zijn veroorzaakt door een storing bij AWS (Amazon Web Services). De storing leidde ertoe dat Wyze-camera’s urenlang niet benaderd konden worden. Toen dat wel weer kon, draaide alles in de soep: door de toegenomen hoeveelheid verkeer werden gebruikers- en apparaat-ID’s door elkaar gehaald. Hierdoor stuurde de Wyze-app per ongeluk thumbnails naar de verkeerde gebruikers. Dit gebeurde bij ruwweg 13.000 gebruikers – 0,25% van alle gebruikers.
Thumbnail van een andere woonkamer
Gebruikers die deze thumbnail aanklikten, kregen veelal een grotere versie van de afbeelding te zien. In sommige gevallen toonde de Wyze-app echter een zogeheten Event Video, met iets meer detail. Beelden die dus niet afkomstig waren van de camera(‘s) van de kijker. Wyze gaf zaterdag te kennen extra authenticatiemaatregelen te hebben toegepast om herhaling te voorkomen. Ook besloot het alle Wyze-gebruikers uit te loggen die op de dag van de gebeurtenis de app hadden gebruikt. Na het opnieuw inloggen moesten de thumbnails sowieso zijn verdwenen.
Initieel werd verwacht dat het probleem een relatief kleine groep gebruikers zou treffen. Inmiddels is dus bekend dat 13.000 gebruikers zijn getroffen. 1.504 gebruikers die een thumbnail van andere Wyze-klanten ontvingen, hebben deze ook werkelijk geopend. Het bedrijf zegt met een viertal e-mails de (niet-)getroffen klanten te hebben ingelicht. Daarbij lichtte het gebruikers ook in als een thumbnail van hun camera naar andere gebruikers was gestuurd én geopend.
Wyze verbetert verificatie
In navolging van de gebeurtenis zegt Wyze extra verificatielagen te hebben toegevoegd. Deze lagen verifiëren eerst de gebruikersdata voordat gebruikers met Event Video’s in aanraking komen. Verder werd het systeem aangepast om “caching te omzeilen voor controles op gebruiker-apparaat relaties totdat we nieuwe clientbibliotheken hebben die grondig zijn getest op extreme gebeurtenissen zoals we vrijdag hebben meegemaakt”, aldus de camerafabrikant.
Wyze zegt verder de gebeurtenis te betreuren. Het bedrijf was juist bezig met het verbeteren van de beveiliging van zijn diensten middels onderzoek en penetratietesten via derde partijen.










