Un fallo en el sistema de las videocámaras de Wyze ha permitido a los usuarios ver el hogar de otras personas que también tienen instalados estos dispositivos, un incidente de seguridad causado por una asignación errónea del identificador del dispositivo y el usuario tras la caída de servicio que se experimentó el viernes.
Un problema con Amazon Web Service (AWS), el proveedor de los servicios en la nube de Wyze, desconectó temporalmente el viernes las cámaras y el sistema de videovigilancia del hogar de esta compañía, como destacó Wyze el viernes.
Esta caída del servicio dio paso a un fallo de seguridad que algunos usuarios denunciaron en redes sociales y foros como Reddit: podían ver el interior de las casas de otras personas que también usaban las cámaras de Wyze.
La compañía tecnológica reconoció en un comunicado compartido en su propio foro el problema, en el que dijo que el problema de seguridad no afectaba a la retransmisión en directo ni daba acceso a los vídeos, sino al sistema de notificaciones de eventos y que solo mostraba una miniatura de una cámara que no era la propia.
El cofundador de Wyze, David Crosby, ha asegurado que tan pronto como conocieron estos sucesos deshabilitaron la pestaña de eventos. "Después agregamos una capa adicional de verificación para cada usuario antes de que pudiera ver las miniaturas", una medida que han acompañado de un cierre de sesión obligatorio en la aplicación Wyze para "restablecer los tokens".
Este lunes, Crosby ha confirmado que se han dirigido a los usuarios de Wyze en función del impacto que ha tenido en ellos el fallo de seguridad. Y ha reconocido que alrededor de 13.000 usuarios vieron miniaturas que no eran suyas en la cuenta de Wyze y que 1.504 usuarios pincharon sobre ellas, principalmente para ampliarlas. Asegura que "no se tocaron ni se vieron vídeos de eventos".
"El incidente fue causado por una biblioteca cliente de almacenamiento en caché de terceros que se integró recientemente en nuestro sistema. Esta biblioteca cliente recibió condiciones de carga sin precedentes causadas por dispositivos que volvían a estar en línea al mismo tiempo. Como resultado del aumento de la demanda, confundió la asignación de ID de dispositivo y de usuario y conectó algunos datos a cuentas incorrectas", explica el cofundador.