Wyze: 13.000 gebruikers konden thumbnails camerafeeds van andere gebruikers zien

Ongeveer 13.000 gebruikers van Wyze-beveiligingscamera’s konden vorige week vrijdag door een bug thumbnails van de camerafeeds van andere gebruikers zien. Vorig jaar konden sommige Wyze-gebruikers ook al de feeds van andere gebruikers zien.

Wyze schrijft in een e-mail aan gebruikers dat 1504 gebruikers daadwerkelijk de feeds van andere gebruikers hebben aangeklikt. In de meeste gevallen werd daarbij alleen de thumbnail vergroot. In ‘sommige gevallen’ konden gebruikers ook de eventvideo’s van andere gebruikers weergeven. Het bedrijf zegt alle betrokken gebruikers op de hoogte te hebben gesteld.

De camerafabrikant bevestigt opnieuw dat het probleem werd veroorzaakt door een cacheprobleem. Het zou veroorzaakt zijn door een cachinglibrary van een derde partij. Door een storing bij AWS waren camera’s van gebruikers enkele uren onbereikbaar. Het beveiligingsprobleem deed zich voor bij het weer online brengen van de camera’s. Daarbij meldden ‘verschillende gebruikers’ dat ze de thumbnails van andere camerafeeds konden zien en in sommige gevallen ook eventvideo’s. Die worden bijvoorbeeld opgenomen wanneer een Wyze-camera activiteit of bewegingen herkent.

Het beveiligingsprobleem deed zich voor op vrijdag 16 februari. Wyze bevestigde toen tegenover The Verge dat minstens veertien gebruikers thumbnails van de feeds van andere gebruikers konden zien. Het bedrijf had vorig jaar september een soortgelijk probleem, waarbij een beperkt aantal gebruikers camerabeelden van andere gebruikers konden inzien.

Reacties (22)

DealExtreme2 19 februari 2024 12:52

Blijft toch gek dat ze hier niet een kleine secret key overheen gooien; noem het security by obscurity, maar dat voorkomt dit soort exposure bij niet kwaad-willenden wel en beperkt je schade bij eventuele bugs. Het gewoon technisch onmogelijk maken om een feed of thumbnail te zien zonder de decryptie key - en die mag heel simpel en kraakbaar zijn (en dus low on resources). Soort van damage control encryptie mocht de server ineens alle feeds mixen

jesse! @DealExtreme2 • 19 februari 2024 12:56

Maar dan valt het niet op, niemand die het meldt en kan het voor maanden misbruikt worden.

DealExtreme2 @jesse! • 19 februari 2024 14:16

Toch wel, want mensen krijgen de foutmelding: unable to decrypt thumbnail of stream en hierop kan je monitoren.

Memori @DealExtreme2 • 19 februari 2024 13:53

noem het security by obscurity

Hoezo dan? Een client en server die een sleutel afspreken voor communicatie tussen de twee is toch gewoon goede beveiliging? Dat heeft weinig met obscurity te maken.

DealExtreme2 @Memori • 19 februari 2024 14:24

Ja dat zou helemaal goed zijn en ook gebruikelijk inderdaad!

Alleen dacht ik als dat te complex zou zijn (omdat je dan weer een keypair moet genereren, etc), bedoelde ik echt een eenvoudige secret key die zelfs de client mag verzinnen (bijv. hash over client id of iets) en dan bijvoorbeeld alle bytes plus of min deze waarde (desnoods 8 van die waardes voor opvolgende bytes) zou al voldoende zijn.

Wilde vooral aangeven: er zijn opties die vrijwel geen resources hoeven te kosten, vrijwel geen lastige software aanpassing, en direct een stuk veiliger.

smiba @DealExtreme2 • 19 februari 2024 21:00

Wat je beschrijft klinkt heel erg als een sessieid

of anders gewoon als TLS

[Reactie gewijzigd door smiba op 24 juli 2024 14:51]

laurens0619 @DealExtreme2 • 19 februari 2024 14:11

Is gewoon goede vorm van end-to-end encryptie die hier heel toepasselijk is.

Mijn camera, ezviz, heeft dat wel. Bij het instellen moet ik een master password instellen en alleen daarmee kan ik de video stream decrypten. Bij een eventueel hack oid is er server side alleen encrypted data te zien.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

19 februari 2024 12:53

Tussen 14 gebruikers en 13.000 gebruikers zit een behoorlijk verschil.

Wat betreft communicatie vanuit Wyze verdient dit zeker niet de schoonheidsprijs

We have sent emails out to all affected and unaffected Wyze users from the security issue that occurred on 2/16/24.

The first email went to all unaffected users.

Ik weet van Wyze gebruikers dat zij geen e-mail hebben ontvangen en dat veel mensen helemaal niet op de hoogte waren dat dit issue speelde.

kodak

Beveiliging en antivirus
Privacy

@Bor • 19 februari 2024 13:02

Tussen 14 gebruikers en 13.000 gebruikers zit een behoorlijk verschil.

Daarom is het juist belangrijk dat een bedrijf niet slechts kijkt naar hoeveel klachten er zijn maar zelf goed onderzoek doet naar problemen waarin men zelf verantwoordelijkheid heeft. De klanten hebben immers geen verplichting de problemen te herkennen of melden.

Flying @Bor • 19 februari 2024 13:29

Als Wyze-gebruiker kan ik bevestigen dat ik noch van dit beveiligingsprobleem noch van het beveiligingsprobleem van vorig jaar waarbij de feeds zelf ook zichtbaar waren, op de hoogte ben gesteld door Wyze. Ik weet enkel door het nieuws op Tweakers te lezen van deze problemen af.

In de app zelf is er geen enkele melding of mededeling te vinden over deze problemen.

[Reactie gewijzigd door Flying op 24 juli 2024 14:51]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Flying • 19 februari 2024 17:51

In de app zou een tabblad met previews gedisabled zijn maar ook dat heb ik niet gezien. De aanpak rammelt aan alle kanten.

Christoxz @Bor • 19 februari 2024 13:55

Tussen 14 gebruikers en 13.000 gebruikers zit een behoorlijk verschil.

Die 14 was ook een voorlopige bevestiging op basis van reports.

“So far we’ve collected 14 reports of this happening, but we are currently identifying all affected users...We will also send notification to all Wyze users explaining what happened,”

Na onderzoek komen ze met hun definitieve uitkomst.

We can now confirm that as cameras were coming back online, about 13,000 Wyze users received thumbnails from cameras that were not their own and 1,504 users tapped on them.

graceful 19 februari 2024 13:50

Je zou toch denken dat ze geleerd hadden van de bug een jaar geleden, geloof ik? Waar bij hele feeds beschikbaar waren bij andere klanten.

Kan me wel voorstellen hoe dit technisch fout gaat, kan al zo simpel zijn als een routing error of foutieve configuratie op de CDN. Op basis van het bezoekers aantallen rond dat moment kom je dan inderdaad tot dergelijke vage conclusies qua aantallen.

Want X bezoekers betekend niet X unieke bezoekers. Maar vervolgens kunnen ze dan exact aantal mensen vertellen dat de thumbnail vergoot heeft?

Ook wel geinig, dat je dan opeens wakker wordt en dan op je camera’s kijkt. Blijkt je droom dat je verhuist was toch opeens waarheid.

CAPSLOCK2000

Privacy
Beveiliging en antivirus

@graceful • 19 februari 2024 14:48

Je zou toch denken dat ze geleerd hadden van de bug een jaar geleden, geloof ik?

Ja, ze hebben geleeerd dat je gewoon weg komt met dit soort fouten.
We passen hun koopgedrag eigenlijk niet aan door security problemen.

Ik wil niet zeggen dat we het niet belangrijk vinden maar dat we niet goed in staat zijn om de veiligheid van een IT-product te beoordelen. Dat probleem is niet uniek voor IT maar het is er wel erg groot. Bij andere gebieden vertrouwen we op de overheid om grenzen te trekken of kijken we naar onahankelijke testinstituten. In de IT zijn de eisen van de overheid minimaal en worden eigenlijk niet gecontroleerd, als ze al bestaan. Wat er wel is kijkt meer naar organisatorische aspecten dan technische. Onafhankelijke testers die op een mainstream manier naar security kijken (iets als de Consumentenbond) bestaan nauwelijks.

Voor de meeste mensen (en bedrijven) is het daarom volkomen onmogelijk om de veiligheid van een IT-product te beoordelen, dan kan het ook geen onderdeel van je beslissing zijn. Mensen kiezen dan nog wel eens voor A-merken in de veronderstelling dat die hun zaakjes wel op orde hebben. Het zou dus zomaar kunnen dat dit incident meer klanten heeft opgeleverd dan het heeft gekost.
Maar zoals we zien biedt dat geen garanties.

De markt voor "beveiligings"camera's is sowieso een vreemde markt. Het is een IT-product maar het wordt niet zo gezien. Camera's worden gezien als infrastructuur als kabels, riolering en verlichting. Dat laat je over aan de bouwvakkers. Ik vroeg een vertegenwoordiger van zo'n bedrijf ooit naar de veiligheid van camera's die ze wilde ophangen. Het antwoord was: "4mm gehard staal en we kunnen ze ook met extra lange schroeven bevestigen".

Iedereen zegt security belangrijk te vinden maar als we het niet kunnen beoordelen dan willen we er ook niet voor betalen (en dat is terecht want anders wordt je maar opgelicht). Als zelfs de grootste leveranciers dit soort fouten maken, waarom zou je dan uberhaupt betalen voor kwaliteit? Die bestaat blijkbaar niet.
Wat niet direct zichtbaar is, is dat security veel geld kost waardoor veilige(re) producten snel veel duurder worden. Daarbij worden de goeden afgeremd door de slechten omdat de goeden veel duurder zijn maar niet eenvoudig objectief kunnen aantonen dat ze echt veiliger zijn.
En dan moet zo'n apparaat ook nog eens 25 jaar mee want zo wordt over infrastructuur gedacht.

En aan een camera alleen heb je niet veel, er moet ook software om heen zoals een cloudservice en is het beoordelen van de security nog veel moeilijker, al is het maar omdat die software dagelijks kan veranderen.

webhalla @CAPSLOCK2000 • 19 februari 2024 18:19

Hopelijk gaat de rdi daar verschil in maken alhoewel het nu nog vrijwillig is: https://www.rdi.nl/actuee...certificerings-autoriteit

sfjuocekr 19 februari 2024 13:28

Lol, zulke fouten werden 25 jaar geleden al gemaakt!

laurens0619 19 februari 2024 14:27

The incident was caused by a third-party caching client library that was recently integrated into our system. This client library received unprecedented load conditions caused by devices coming back online all at once. As a result of increased demand, it mixed up device ID and user ID mapping and connected some data to incorrect accounts.

Dat caching mis kan gaan is een bekend verhaal maar dat komt meestal door onjuiste configuratie caching (en welke parameters hij als unieke cache moet nemen)
Maar caching wat mis gaat door "increased demand" hoor ik voor het eerst.

Misschien dat er op een interne functie een timeOut kwam waardoor de caching key iets werd als KeyUserIDNULLDeviceIDNULL voor iedere user?

[Reactie gewijzigd door laurens0619 op 24 juli 2024 14:51]

aikebah @laurens0619 • 19 februari 2024 19:16

Waarschijnlijker is een te kleine random id die al te snel in reuse komt door een te hoge frequentie van nieuwe clients...
Alsnog klinkt dat idd als een kwestie van verkeerd configureren van de cache - te kleine keys, of een te hoge cache expiry timeout waardoor je nog items in de cache hebt van een vorige client die dezelfde id kreeg uitgedeeld.

Met een cache-key clientId van 2 digits round-robin en een expiry van 1sec moet je zorgen dat je een stukje onder de 99 clients/sec blijft om niet per ongeluk twee clients onder dezelfde id actief te hebben.

biteMark 19 februari 2024 19:26

Hoezo worden die beelden niet versleuteld met een user-specific key die enkel bekend is bij de camera('s) en je browser(s) (al dan niet via plug-ins, een wachtwoordmanager o.i.d.)?

OLED 19 februari 2024 12:52

-“konden vorige week vrijdag door een bug thumbnails van de camerafeeds van andere gebruikers zien. Vorig jaar konden sommige Wyze-gebruikers ook al de feeds van andere gebruikers zien.”

Dat klinkt eerlijk gezegd toch al als een verbetering!
Als het in dit tempo doorgaat dan is de kans groot dat er volgend jaar niemand meer iets van iemand anders te zien krijgt

xoniq @OLED • 19 februari 2024 13:45

Wyze dat 1504 gebruikers daadwerkelijk de feeds van andere gebruikers hebben aangeklikt. In de meeste gevallen werd daarbij alleen de thumbnail vergroot. In ‘sommige gevallen’ konden gebruikers ook de eventvideo’s van andere gebruikers weergeven. Het bedrijf zegt alle betrokken gebruikers op de hoogte te hebben gesteld.

Toch niet helemaal een verbetering

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (22)

Sorteer op:

Weergave: