セキュリティカメラメーカーのWyzeで障害発生、1万3000人の顧客が他のユーザーのカメラをのぞき見ることが可能に

セキュリティカメラメーカーのWyze製のカメラにおいて、他のユーザーのカメラ映像を閲覧できる障害が発生していたことが、2024年2月16日に報告されています。Wyzeによると、影響を受けたユーザーの数は約1万3000人に上るとのことです。

Update on Investigation of 2/16/24 Security Issue - Wyze News - Wyze Forum
https://forums.wyze.com/t/update-on-investigation-of-2-16-24-security-issue/291002

Wyze says camera breach let 13,000 customers briefly see into other people’s homes - The Verge
https://www.theverge.com/2024/2/19/24077233/wyze-security-camera-breach-13000-customers-events

Wyze security failure let 13,000 customers see into other users' homes | Tom's Hardware
https://www.tomshardware.com/cameras/security-issue-at-wyze-allowed-13000-customers-to-access-other-users-video-feeds

Wyzeでは2024年2月16日の早朝、一部のユーザーにおいて自分のものではないカメラの映像を閲覧できるという障害が発生し、複数のユーザーが「他人の玄関先やリビングの映像を閲覧できた」と報告しています。

Wyzeは障害発生当初、他人の家をのぞくことができたのは14人だけだと推測していましたが、2024年2月19日にはその数が1万3000人にまで膨れあがっています。一方で、「実際に他人の家のカメラ映像を閲覧したのは1504人で、ユーザーの99.75％はまったく影響を受けませんでした」とWyzeは報告しています。

なお、Wyzeは、専用アプリから他人のカメラを閲覧できる「『イベント』タブ」を削除したり、映像のサムネイルを表示する前に、各ユーザーに対し、検証を行うレイヤーを追加したり、トークンのリセットのためにWyzeアプリを使用した全てのユーザーを強制的にログアウトさせたりといった措置を取ったことを明らかにしています。

Wyzeによると、今回の問題は2024年2月16日に行われたAWS由来のシステム障害に端を発するとのこと。システム障害から復旧し、全てのカメラが再びオンラインになるにつれて、Wyzeのシステムに想定以上の負荷がかかりました。その結果、デバイスIDとユーザーIDが正しく紐付けられず、一部のデータが誤ったアカウントに接続されるという状況に陥ったことが報告されています。

Wyzeは影響を受けたユーザーに対し送信したメールの中で、「2024年2月16日に経験したような極端なイベントに対して徹底的にストレステストを行った新しいクライアントライブラリを特定するまで、ユーザーとデバイスの関係をチェックするためにキャッシュをバイパスするようにシステムを変更しました」と報告。さらに「この度は大変申し訳ありません。皆さまからの信頼回復に向け、全力を尽くしてまいります」との声明を発表しています。