Media donoszą, że Wyze od trzech lat wiedział o luce bezpieczeństwa, która sprawiała, że jej kamery bezpieczeństwa były podatne na ataki hakerów. Ale przez cały ten czas nie powiedział swoim klientom o problemie.
Wiadomość o usterce pojawiła się we wtorek. Wyze, od dawna znany z tego niedrogie, ale przydatne kamery bezpieczeństwa, od tego czasu odpowiedział na kontrowersje, jak wspomniano poniżej.
Wyze wiedział o podatności kamer na hakerów przez 3 lata
We wtorek firma Bitdefender zajmująca się cyberbezpieczeństwem opublikowała post na blogu oraz biały papier wyszczególniając problem z bezpieczeństwem. Ta usterka umożliwiłaby hakerowi uzyskanie nieuwierzytelnionego zdalnego dostępu do zawartości karty SD aparatu Wyze V1. Intruz mógł więc zobaczyć i potencjalnie pobrać zapisane tam wideo.
Co gorsza, artykuł Bitdefender pokazuje, że Wyze dowiedział się o luce w aparacie V1 w marcu 2019 roku. Bitdefender ujawnił również dwie inne nieujawnione luki w zabezpieczeniach aparatu Wyze, które zostały załatane we wrześniu 2019 r. i listopadzie 2020 r.
Odpowiedź Wyze
W odpowiedzi na nowo wypuszczoną, ale długotrwałą lukę, Wyze opublikowało wpis na blogu. Częściowo mówi się, że hakerzy, aby wykorzystać lukę w zabezpieczeniach, musieliby złamać lokalną sieć użytkownika lub uzyskać dostęp przez otwarty Internet. Jak ujęła to firma:
Najpierw chcielibyśmy poinformować naszych użytkowników, że te luki wymagają jakiejś formy dostępu do sieci lokalnej. Tak więc musiałbyś narazić swoją sieć lokalną na bezpośrednie działanie złego aktora lub ogólnie na Internet przez te luki można wykorzystać zdalnie (możesz być pewien, że nie powinieneś i prawdopodobnie nie masz takiej konfiguracji jak ten).
Sugeruje to stosunkowo małe prawdopodobieństwo, że haker uzyska dostęp do aparatu Wyze. A jeśli zaktualizowałeś oprogramowanie sprzętowe w kamerach V2 lub V3, usterka została naprawiona, począwszy od aktualizacji z 29 stycznia. Ale kamery V1, które Wyze przestały wspierać w lutym, pozostają zagrożone. Wyze odniósł się do tego:
Niestety, pomimo szeroko zakrojonych wysiłków trwających do 2022 roku, odkryliśmy, że Wyze Cam v1 (ostatnio sprzedany w marcu 2018 r.) nie obsługuje niezbędnych aktualizacji zabezpieczeń. Ograniczona pamięć aparatu, która skłoniła nas do stworzenia Wyze Cam v2, bezpośrednio uniemożliwiła łatanie tych problemów w tym produkcie.
Ale bez ujawnienia dla 3 lata?
Ale faktem jest, że firma przez trzy lata nie ujawniała klientom luk w zabezpieczeniach. Nie jest niczym niezwykłym, że firmy wahają się przez tygodnie przed ujawnieniem usterki. To tygodnie, nie lat. Wyze również to skomentował:
Być może zastanawiasz się: „Dlaczego właśnie teraz o tym słyszę?”. Zarówno Bitdefender, jak i Wyze poważnie traktują bezpieczeństwo dotkniętych użytkowników. Wiedząc, że aktywnie pracujemy nad łagodzeniem ryzyka i aktualizacjami naprawczymi, doszliśmy do podsumowując, że najbezpieczniej było zachować ostrożność w kwestii szczegółów, dopóki luki nie zostaną usunięte naprawiony.
Biorąc pod uwagę częste korzystanie z domowych kamer bezpieczeństwa, takich jak te, które robi Wyze, konsekwencje luki w zabezpieczeniach i nieujawnienie jej wydają się poważne – zarówno dla prywatności, jak i bezpieczeństwa osobistego. Jeśli jesteś klientem, czy zaufałbyś firmie Wyze w przyszłości? Daj nam znać w komentarzach poniżej.