Lỗi bảo mật, camera an ninh Wyze vô tình cho khách "tham quan" nhà người khác

Năm ngoái, thương hiệu nhà thông minh nổi tiếng của Mỹ là Wyze đã gặp rắc rối lớn sau khi một số khách hàng nói rằng họ có thể xem thoáng qua những hình ảnh từ một camera an ninh mà mình không sở hữu. Vấn đề trở nên nghiêm trọng hơn khi người đồng sáng lập David Crosby nói rằng có ít nhất hàng chục trường hợp bị ảnh hưởng bởi vấn đề này.

Theo những thông tin mới nhất được công bố, phạm vi khách hàng bị ảnh hưởng bởi lỗi bảo mật này thậm chí còn lớn hơn gấp nhiều lần những gì được báo cáo ban đầu.

Ước tính có khoảng 13.000 người dùng có thể xem được những hình ảnh thu nhỏ của những ngôi nhà khác thông qua hệ thống camera an ninh Wyze được kết nối với điện thoại và thực tế đã có khoảng 1.504 người đã nhấn vào để xem các video được quay từ những ngôi nhà của người khác.

Sự cố bảo mật khiến cho dữ liệu hình ảnh từ camera an ninh của hàng vạn khách hàng Wyze bị xem chéo.

Tiết lộ này đến từ một email công ty gửi cho khách hàng có tựa đề “Thông báo bảo mật quan trọng từ Wyze”, trong đó công ty đã xử lý vi phạm và xin lỗi, đồng thời cố gắng đổ lỗi cho nhà cung cấp dịch vụ lưu trữ web AWS của mình.

“Sự cố ngừng hoạt động bắt nguồn từ đối tác AWS của chúng tôi và đã làm hỏng các thiết bị Wyze trong vài giờ. Nếu bạn đã cố xem camera trực tiếp trong thời gian đó, có thể bạn không thể xem được. Chúng tôi rất xin lỗi vì sự thất vọng và nhầm lẫn này gây ra”, email công ty thông báo.
Tuy nhiên, vi phạm xảy ra khi Wyze cố gắng đưa camera của mình hoạt động trở lại. Khách hàng cho biết đã nhìn thấy những hình ảnh và đoạn video bí ẩn trong tab Sự kiện của chính họ. Wyze đã vô hiệu hóa quyền truy cập vào tab và tiến hành cuộc điều tra của riêng mình ngay sau đó.

Sự cố bảo mật khiến khách hàng của Wyze có thể "tham quan" bên trong căn nhà của người khác một cách dễ dàng.

Nguyên nhân được công ty cho biết sau đó, xuất phát từ việc thư viện ứng dụng bộ nhớ đệm của bên thứ 3 (AWS) được tích hợp vào hệ thống bị lỗi. Do nhu cầu truy cập của người dùng quá tải, nó đã trộn lẫn ID thiết bị và ID người dùng, đồng thời kết nối một số dữ liệu với các tài khoản không chính xác, dẫn đến tình huống có thể xem chéo dữ liệu của người khác.

Công ty cho biết thêm, để ngăn chặn tình huống tương tự có thể xảy ra, Wyze đã bổ sung thêm một lớp xác thực mới dành cho khách hàng. Công ty cũng đã sửa đổi hệ thống để bỏ qua bộ nhớ đệm nhằm kiểm tra mối quan hệ giữa người dùng và thiết bị cho đến khi xác định được nguyên nhân.

Mặc dù công ty đã lên tiếng xin lỗi, khẳng định 99% khách hàng không bị ảnh hưởng, tuy nhiên vẫn không ngăn được làn sóng phẫn nộ từ phía khách hàng. Trên diễn đàn công nghệ lớn nhất Reddit, nhiều chia sẻ bất bình về sự cố nhận được sự quan tâm của các tín đồ công nghệ. Điều này có thể sẽ ảnh hưởng lớn đến thương hiệu này trong ít nhất một thời gian. Thông qua đó, tiếp tục gióng lên hồi chuông cảnh báo về yêu cầu bảo mật trong các thiết bị nhà thông minh hiện nay.