Wyzeは2月19日(米国時間)、「Update on Investigation of 2/16/24 Security Issue - Wyze News - Wyze Forum」において、2024年2月16日の午前(米国時間)にセキュリティインシデントが発生したと報じた。このインシデントにより約13,000人のユーザーが他人のカメラのサムネイルを閲覧し、1,504人がサムネイルにアクセスしたという。
セキュリティインシデントの概要
Wyzeはインシデントの原因をAmazon Web Services(AWS)の障害にあると報告している。この障害により、数時間にわたりWyzeのデバイスが停止。その後、AWSの障害回復に合わせてカメラが一斉にオンラインに戻ったため、最近システムに統合したサードパーティーのキャッシュクライアントライブラリが過負荷に陥った。その結果、デバイスIDとユーザーIDのマッピングに問題が発生し、一部のデータが他人のアカウントに接続される状態になったとしている。
Wyzeのホームカメラ映像の流出はこれが初めてではない。2023年9月にも同様の事案が発生しており、このときはWebキャッシュが原因だったと報告している(参考:「Wyze製ホームカメラの映像流出、他者の映像が閲覧できる状態に | TECH+(テックプラス)」)。
対策
Wyzeによるとこの影響を受けた一部のユーザーは、他人のサムネイルからイベントビデオの閲覧が可能だったという。Wyzeはこのようなインシデントの再発を防止するため、イベントビデオの接続に新しい検証レイヤーを追加。さらに過負荷に耐性のあるクライアントライブラリを見つけるまでの間、ユーザーとデバイスの関係チェック中のキャッシュを回避するようにシステムを変更したという。
この事案に関して問題回避のためにユーザーができる対策は特にない。なお、インシデントの影響を受けたユーザーにはWyzeからメールが送信されている。