Awaria popularnych kamer. Użytkownicy mogli podglądać siebie nawzajem
W połowie grudnia doszło do poważnego naruszenia prywatności posiadaczy kamer Ubiquiti. Przez błąd po stronie producenta użytkownicy mogli uzyskiwać dostęp do podglądu pochodzącego z cudzych kamer. Okazuje się, że podobne kardynalne błędy nie są rzadkością – właśnie odnotowano kolejny taki przypadek.
Awaria kamer Wyze
W przypadku incydentu z Ubiquiti błąd wyniknął z błędnego zarządzania sesjami użytkowników w chmurowym panelu dostępu. Przez niego użytkownicy logujący się swoimi danymi uzyskiwali dostęp do kont innych użytkowników. Jak donosi serwis Niebezpiecznik.pl, podobny poważny incydent nastąpił w ostatnim czasie w przypadku kamer Wyze, które są sprzedawane także na polskim rynku.
Wyze produkuje kamery umożliwiające nadzór wizyjny w trybie ciągłym lub pod rozpoczynają rejestrację wideo, gdy rozpoznany zostanie ruch. Zaletą produktów Wyze ma być łatwość instalacji i obsługi oraz łatwy dostęp do podglądu z kamer za pośrednictwem prostej w obsłudze aplikacji mobilnej.
Kompletny chaos: posiadacze urządzeń Ubiqiti mogli się nawzajem podglądać i podsłuchiwaćZawinił błąd AWS i biblioteki Wyze
Jak jednak potwierdził już sam producent, w wyniku problemów po stronie usług chmurowych Amazon Web Services doszło do sytuacji, w której, podobnie jak w przypadku Ubiquiti, posiadacze kamer Wyze mogli uzyskiwać za pośrednictwem aplikacji dostęp do podglądu z kamer innych użytkowników. Odsetek osób, które dotknęła usterka, może się wydawać niewielki – było to 0,25 proc. wszystkich kamer – ale bezwzględnie przekłada się to aż na 13 tys. urządzeń.
Do posiadaczy kamery trafiło ze strony Wyze wyjaśnienie, w którym jako powód usterek wskazywano bibliotekę obsługującą pamięć podręczną – początkowe problemy z AWS doprowadziły do awarii, zwiększyły obciążenie, a wówczas biblioteka zawiodła. Po przywrócenia połączenia okazało się, że identyfikatory użytkowników i identyfikatory kamer zostały pomieszane i posiadacze urządzeń Wyze mogli podglądać siebie nawzajem.
Zobacz także: Pukają do drzwi i pytają o jeden dokument. Ruszyły kontrole
Problemy zostały zażegnane
Według producenta problemy zostały już w całości zażegnane. Ponadto przed uzyskaniem dostępu do nagrań z kamer wprowadzony został dodatkowy mechanizm weryfikacyjny. Wyze zapewnia także, że do czasu, aż nowe biblioteki nie zostaną odpowiednio przetestowane pod kątem obsługi większego ruchu, weryfikacja powiązań identyfikatorów nie będzie wykorzystywała pamięci podręcznej.
Źródło: Niebezpiecznik.pl
