Wyze社のカメラが不正アクセスされ、約1万3000人の顧客が他人の自宅の映像を閲覧できる状態になった。同社は当初、深刻なプライバシーとセキュリティ侵害を受けたのは14人のみと発表していた。

Wyze 社によれば、これらの顧客のほとんどはサムネイルしか見なかったが、1,500 人以上のユーザーはイベントのフルサイズの静止画またはビデオ録画を見たという。

Wyzeカメラの侵入

Wyze社によると、同社がカメラへのリモートアクセスに使用しているAmazon Web Services（AWS）のサーバーに障害が発生したとのことだ。数時間にわたってリモートカメラにアクセスできないという不便はあったものの、大きな問題ではなかった。

しかし、The Verge の報道によると、停電が終わりカメラがオンラインに戻り始めた直後に問題が発生したという。

顧客から、自分の「イベント」タブに謎の画像や動画が表示されているとの報告がありました。Wyze社はタブへのアクセスを無効化し、独自の調査を開始しました。

Wyze 社はこれまでと同様に、このインシデントの原因を、最近同社のシステムに統合された「サードパーティのキャッシュ クライアント ライブラリ」にあるとしている。

「このクライアントライブラリは、デバイスが一斉にオンラインに戻ったことで、前例のない負荷状態に陥りました。需要の増加により、デバイスIDとユーザーIDのマッピングが混乱し、一部のデータが誤ったアカウントに接続されてしまいました。」

しかし、推定1万3000人が他人の自宅からサムネイルを不正に覗き見るのを防ぐには遅すぎました。Wyzeによると、1504人がサムネイルをタップして拡大し、そのうち数人が視聴可能な動画を捉えたとのことです。

同社は、影響を受けたユーザー全員に通知済みであり、再発防止のため「新たな検証層」を追加したと述べている。

Redditのユーザーは同社の説明に納得しなかった。

「需要の増加は、コードやデータベースがランダムに値を混同する原因にはなりません。需要の増加はリクエストの処理時間を遅くするだけで、コード化されたプロセスを根本的に変えるものではありません。これは、せいぜい「クソ」です。​​」

「大した話じゃない。Wyzeの製品はめちゃくちゃ安いし、値段相応の価値はある。」

「なぜ彼らはいつもサードパーティのせいにするのですか？私たちはサードパーティからカメラを購入したり、サードパーティに下請け料金を支払ったりしていません。これはWyzesの問題です。認めて、さっさと終わらせましょう。」

初めてではない

このような事態は初めてではありません。2022年には、セキュリティ上の欠陥によりハッカーが保存された動画を閲覧できる事態が発生し、同社が警告を受けた後も3年間も修正されなかったと報じられています。

2019年には、別のセキュリティ上の欠陥により、約240万人のWyzeカメラユーザーの個人データが大量に漏洩した。

9to5Macの見解

先日お伝えしたように、問題がセキュリティ上の欠陥であろうと、サーバーアクセスの価格のつり上げであろうと、セキュリティカメラに関する教訓は明らかです。Apple の HomeKit Secure Video をサポートするカメラだけにしましょう。

これは完全に安全であるだけでなく、費用対効果も優れています。ご利用にはiCloudサブスクリプションが必要ですが、クラウドストレージは使用量にカウントされません。

写真: 9to5Toys

havebin.com を Google ニュース フィードに追加します。