"Ich wurde von jemandem beobachtet" - Wyze-Kamerafehler macht Videoübertragungen für Fremde sichtbar

Der Smart-Cam-Hersteller Wyze informiert seine Kunden über eine unangenehme Panne, die dazu führte, dass die Video-Feeds einiger Nutzer für Fremde zugänglich waren - nur wenige Monate nach einem fast identischen Vorfall.

Wyze erlitt letzte Woche einen Serverausfall, der zu einem Caching-Problem führte, was zu einigen "gekreuzten Drähten" führte, die es einigen Nutzern ermöglichten, auf die Video-Feeds anderer zuzugreifen.

"Wir hatten ein Caching-Problem mit einer Caching-Client-Bibliothek eines Drittanbieters, die kürzlich in unser System integriert wurde", heißt es im jüngsten Update in den Wyze-Foren. "Sie war nach dem Ausfall am Freitagmorgen überlastet und hat beim Versuch, wieder online zu gehen, Drähte gekreuzt.

Ein Reddit-Thread mit dem Titel "Ich wurde von jemandem beobachtet" beschreibt die Erfahrung einer Person mit der Störung. Mehrere andere Berichte sind ebenfalls im Internet zu finden, wie BleepingComputer hervorhebt.

Wyze hat E-Mails sowohl an betroffene als auch an nicht betroffene Kunden verschickt und damit ein hohes Maß an Transparenz in Bezug auf eine ansonsten schwerwiegende Sicherheitslücke gezeigt.

Die neueste Zahl ist:

• Etwa 13.000 Nutzer erhielten Miniaturbilder von Kameras, die nicht ihre eigenen waren.
• 1.504 tippten auf diese Miniaturansichten. In den meisten Fällen wurde das Bild nur vergrößert, aber kein echtes Filmmaterial angezeigt.
• In einigen wenigen Fällen, die Hardware wie Cam Plus Lite und Tonerkennungsereignisse betrafen, wurde beim Anklicken der Miniaturansicht nicht nur das Bild vergrößert, sondern auch das Video des Ereignisses abgespielt - und somit wurden einige Videos tatsächlich angesehen.
• Videos von Live-Streams waren nicht betroffen.

Nach Angaben von Wyze waren etwas weniger als 0,25 % der Nutzer von dem Vorfall betroffen, einschließlich der Nutzer, die Thumbnails erhalten haben, und der Nutzer, deren Thumbnails an ein anderes Konto gesendet wurden.

Abgesehen von den Sicherheitsproblemen haben einige Kunden auch Probleme, die Kontrolle über ihre Wyze Smart-Cams wiederzuerlangen. Das Unternehmen rät allen, die Probleme mit der Wiederherstellung haben, ihr Gerät neu zu starten oder auszuschalten.

"Wir deaktivieren vorübergehend die Registerkarte Ereignis in der Wyze-App, um ein mögliches Sicherheitsproblem zu untersuchen, und werden sie bald wieder aktivieren", heißt es in den Wyze-Foren.

Um zu verhindern, dass sich ähnliche Unfälle wiederholen, hat Wyze nach eigenen Angaben eine neue Verifizierungsebene hinzugefügt, bevor Benutzer mit Event Videos verbunden werden.

Das Unternehmen hat außerdem serverseitige Änderungen vorgenommen, um das Caching für die Überprüfung der Benutzer-Geräte-Beziehungen zu umgehen, bis es neue Client-Bibliotheken gefunden hat, die gründlich auf extreme Ereignisse wie diese getestet wurden.

Leider ist dies nicht der erste derartige Patzer von Wyze. Im Dezember 2019 gab das Unternehmen die Daten von rund 2,4 Millionen Kunden preis.

Und im September letzten Jahres berichteten einige Nutzer, dass sie in ihrem Wyze-Cam-Webinterface die Kamerabilder anderer Personen sehen konnten, was zu einer fast identischen Serie von Ereignissen führte. Auf Nachfrage gab das Unternehmen einem Web-Caching-Problem die Schuld.