セキュリティカメラメーカーのWyzeで障害発生、1万3000人の顧客が他のユーザーのカメラをのぞき見ることが可能に
セキュリティカメラメーカーのWyze製のカメラにおいて、他のユーザーのカメラ映像を閲覧できる障害が発生していたことが、2024年2月16日に報告されています。Wyzeによると、影響を受けたユーザーの数は約1万3000人に上るとのことです。
Update on Investigation of 2/16/24 Security Issue - Wyze News - Wyze Forum
https://forums.wyze.com/t/update-on-investigation-of-2-16-24-security-issue/291002
Wyze says camera breach let 13,000 customers briefly see into other people’s homes - The Verge
https://www.theverge.com/2024/2/19/24077233/wyze-security-camera-breach-13000-customers-events
Wyze security failure let 13,000 customers see into other users' homes | Tom's Hardware
https://www.tomshardware.com/cameras/security-issue-at-wyze-allowed-13000-customers-to-access-other-users-video-feeds
Wyzeでは2024年2月16日の早朝、一部のユーザーにおいて自分のものではないカメラの映像を閲覧できるという障害が発生し、複数のユーザーが「他人の玄関先やリビングの映像を閲覧できた」と報告しています。
I just got a motion push notification for someone else's Living Room camera
byu/chrispgriffin inwyzecam
Wyzeは障害発生当初、他人の家をのぞくことができたのは14人だけだと推測していましたが、2024年2月19日にはその数が1万3000人にまで膨れあがっています。一方で、「実際に他人の家のカメラ映像を閲覧したのは1504人で、ユーザーの99.75%はまったく影響を受けませんでした」とWyzeは報告しています。
なお、Wyzeは、専用アプリから他人のカメラを閲覧できる「『イベント』タブ」を削除したり、映像のサムネイルを表示する前に、各ユーザーに対し、検証を行うレイヤーを追加したり、トークンのリセットのためにWyzeアプリを使用した全てのユーザーを強制的にログアウトさせたりといった措置を取ったことを明らかにしています。
Wyzeによると、今回の問題は2024年2月16日に行われたAWS由来のシステム障害に端を発するとのこと。システム障害から復旧し、全てのカメラが再びオンラインになるにつれて、Wyzeのシステムに想定以上の負荷がかかりました。その結果、デバイスIDとユーザーIDが正しく紐付けられず、一部のデータが誤ったアカウントに接続されるという状況に陥ったことが報告されています。
Wyzeは影響を受けたユーザーに対し送信したメールの中で、「2024年2月16日に経験したような極端なイベントに対して徹底的にストレステストを行った新しいクライアントライブラリを特定するまで、ユーザーとデバイスの関係をチェックするためにキャッシュをバイパスするようにシステムを変更しました」と報告。さらに「この度は大変申し訳ありません。皆さまからの信頼回復に向け、全力を尽くしてまいります」との声明を発表しています。
・関連記事
セキュリティカメラのWyze Camに3年間誰でもアクセス可能だった脆弱性があったことが明らかに - GIGAZINE
顧客のカメラ映像を従業員が勝手に見ていた問題でAmazon傘下の監視カメラ企業Ringが8億円超の和解金支払いへ - GIGAZINE
AppleがiPhoneをペット用の監視カメラに変えるためのフレームワークを発表 - GIGAZINE
Amazonのドアカムブランド「Ring」が警察による令状なしの映像要求機能を一部廃止することを発表 - GIGAZINE
Googleは令状なしで監視カメラ映像を警察に提供する用意がある - GIGAZINE
・関連コンテンツ