Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kolejna kuriozalna wpadka producenta – użytkownicy kamer Wyze mogli podglądać innych
Niedawno pisaliśmy o wpadce Ubiquity, poprzez którą użytkownicy mogli uzyskać dostęp do konsol innych urządzeń sieciowych oraz feedów z kamer, które do nich nie należały. Wtedy powodem problemów była aktualizacja infrastruktury cloudowej producenta.
W zeszły piątek podobne zdarzenie dotknęło użytkowników kamer Wyze. Pod wpisem producenta, na subreddicie r/wyzecam, niektórzy użytkownicy raportowali, że mają dostęp do kamer innych użytkowników. Do kuriozalnej sytuacji doszło podczas przywracania funkcjonowania systemu w chmurze AWS.
The outage originated from our partner AWS and took down Wyze devices for several hours early Friday morning. If you tried to view live cameras or events during that time you likely weren’t able to. We’re very sorry for the frustration and confusion this caused.
Fragment maila rozesłanego przez firmę oraz opublikowanego na forum użytkowników Wyze.
Firma tłumaczy w oświadczeniu, że w trakcie przywracania usług doszło do incydentu wywołanego przez zewnętrzną bibliotekę utrzymującą cache, z której korzystali. W wyniku zwiększonej liczby zapytań, pomieszane zostało mapowanie identyfikatorów urządzeń i użytkowników.
The incident was caused by a third-party caching client library that was recently integrated into our system. This client library received unprecedented load conditions caused by devices coming back online all at once. As a result of increased demand, it mixed up device ID and user ID mapping and connected some data to incorrect accounts.
W wyniku tego błędu około 13000 użytkowników mogło zobaczyć podgląd na miniaturkach lub pełen feed pochodzący z kamer innych użytkowników. W odpowiedzi na incydent Wyze wyłączyło dostęp do feed’ów z kamer.
Producent twierdzi, że wprowadził dodatkową warstwę weryfikacji, aby nie doprowadzić do podobnej sytuacji w przyszłości.
To już kolejny incydent, który pokazuje, jak ważne jest rozsądne zarządzanie chmurą, zwłaszcza gdy na szali leży bezpieczeństwo tysięcy użytkowników. Z pozoru mała wpadka z zakresu cyber mogła mieć również skutki fizyczne narażające właścicieli kamer na włamania i kradzieże.
W takim wypadku może lepiej hostować własną infrastrukturę dla monitoringu ze zdalnym dostępem po VPN? A Wy jak skonfigurowaliście swoje kamery? Korzystacie z chmury producenta?
~fc
A co ma chmura do tego? To samo sie moglo stac na bare metalach hostowanych w siedzibie firmy.
Bałbym się podłączyć do chmury producenta nawet najdroższą kamerę, a ludzie podłączają nawet bezmarkowe.
FC, jaki to ma związek z Chmurą?