[English]Beim Anbieter von Kameras, Wyze, hat es kürzlich technische Probleme gegeben. Nutzer berichteten, dass sie plötzlich die Kamerabilder anderer Personen angezeigt bekamen. Nun hat der Anbieter den Sicherheitsvorfall bestätigt. Um die 13.000 Nutzer waren betroffenen und bekamen die Kameradaten anderer Wyze-Kamera-Besitzer in ihren Streams angezeigt. Ist halt lustig, wenn die eigenen Kameras in die Cloud streamen, wo der Hersteller dann sortieren muss, dass alles korrekt läuft.
Anzeige
Wyze, kein Unbekannter
Wyze ist hier im Blog ja schon mal im Zusammenhang mit Sicherheitsvorfällen aufgetaucht (siehe Links am Artikelende). Im Beitrag RCE-Exploit für Wyze Cam v3 veröffentlicht (Nov. 2023) hatte ich einen solchen Vorfall aufgegriffen. Seinerzeit hatte ich im Internet geschaut und mitbekommen, dass zum Beispiel die Wyze Cam v3 auch auf den deutschen Amazon-Seiten für um die 100 Euro (als Amazon Tipp) angeboten wird. Die Wyze Cam v3 ist eine preisgünstige Sicherheitskamera für den Innen- und Außenbereich mit Unterstützung für Nachtsicht in Farbe, SD-Kartenspeicher, Cloud-Konnektivität für Smartphone-Steuerung, IP65-Wetterschutz und mehr. Die Kameras verkaufen sich wohl sehr gut.
Neuer Vorfall betrifft 13.000 Nutzer
Es ging bereits seit Tagen durch die Presse, ich hatte es z.B. u.a. bei Golem gesehen. Nutzer von Wyze-Kameras beklagten sich, dass ihnen plötzlich Bilder fremder Personen oder fremder Wohnungen angezeigt wurden, wenn sie die eigenen Kamerabilder in der Cloud ansehen wollten. Auf reddit.com gibt es diesen Post, wo sich eine Dame beobachtet fühlte. Die Betreiber hatten im Wyze-Forum seinerzeit angekündigt, eine Untersuchung zu starten.
Konkret gab es wohl am 16. Februar 2024 eine Störung, wodurch die Kameraübertragung für Stunden unterbrochen war. Der Ausfall wurde laut Wyze auf ein Problem mit AWS zurückgeführt. Wenn die AWS streikt, ist Wyze down. Später wurden die Daten aus dem System eines Nutzers in der App eines anderen Nutzers angezeigt.
Nun hat Wyze den Vorfall vom 16. Februar 2024 im Forum eingestanden, und gibt in einem Update vom 19. Februar 2024 an, Betroffene informiert zu haben. Konkret heißt es, dass Ereignis-Thumbnails durch die Störung für andere zugänglich gemacht und auf Wyze Friends abgegriffen wurden, wenn Nutzer auf ihr Wyze-Konto zugegriffen haben.
Betroffen waren 13.000 Anwender dieser Wyze-Kameras und konnten theoretisch die Miniaturansichten fremder Kameras sehen. Allerdings sollen nur 1.504 Betroffene diese Miniaturansichten angewählt haben. In den meisten Fällen wurde das Bild vergrößert, heißt es. Die Leute von Wyze fanden auch einige Fälle, in denen die Miniaturansicht an ein Ereignisvideo angehängt war und das Video angezeigt wurde. Das trat z. B. bei Cam Plus Lite und Tonerkennungsereignissen auf. Videos von Live-Streams waren davon nicht betroffen heißt es.
Insgesamt seien etwas weniger als 0,25 % der Wyze-Nutzer von diesem Ereignis betroffen (umfasst auch die Nutzer, die Thumbnails erhalten haben, und der Nutzer, die ihre Thumbnails an ein anderes Konto gesendet haben). Klingt nun verniedlichend, und Privatleute, denen das passiert ist, sollten sich die Frage stellen, ob diese ganze Cloud-Abhängigkeit der Weisheit letzter Schluss ist. Sofern die Wyze-Kameras aber im Firmenumfeld eingesetzt gewesen sein sollten – also keine private Nutzung gegeben ist – muss der Vorfall als Datenschutzverletzung betrachtet werden. Wer von Wyze benachrichtigt wurde, muss dann einen DSGVO-Meldung bei der Datenschutzaufsicht tätigen.
Ähnliche Artikel:
RCE-Exploit für Wyze Cam v3 veröffentlicht (Nov. 2023)
Sicherheitslücken in der Wyze Cam IoT-Kamera-Firmware (März 2022)
IoT-Anbieter Wyze gesteht Datenleck ein
2015
Wieso wundert mich sowas nicht, die meisten Leute haben immer noch nicht gelernt: "Es gibt keine Cloud, es ist nur jemand anderes Computer".
Aber man muss ja unbedingt alles so bequem per Smartphone und "App" steuern, aber bloß kein Hirnschmalz reinstecken, wie man sowas vernünftig und sicher aufsetzen kann (und ja, das geht, ist dann halt nur nicht ganz so bequem und die Komponenten dafür etwas teurer.)
Dem ist nichts hinzuzufügen.
Ja das geht! Ich hab nen komplett smartes Haus, sogar so smart das mir Licht und Musik per Beacons von Raum zu Raum folgen. Nix Cloud, alles auf eigenen Servern im Technikraum. Da verlässt kein einziges Bit die Wohnung wenn ich das nicht wünsche. Fernabfrage/Steuerung ist per VPN ebenso möglich (ja nicht so blinki bunti wie mit all den "Cloud Apps" dafür safe!
Das Hauptproblem ist doch das Ahnungslose den Luxus auch wollen, aber nix dafür bezahlen… dabei raus kommt der Ganze billige IoT Schrott!
You get what you paid for! Luxus kostet!
Genau das meinte ich mit meinem Beitrag.
Man kann sowas sicher machen, aber es ist halt nicht so bequem wie mit dem APP "Geraffel" und kostet halt mehr. Ich würde mir solche Gerätschaften mit Cloudzwang nicht anschaffen, ist bei mir absolutes KO Kriterium.
Ist das sowas wie Chatroulette? Frage für 1 Froind…
;) you made my day
Hier wäre eine Ende-Ende-Verschlüsselung wirklich sinnvoll. Es gibt keinen Grund, dass der Dienstleister die Streams unverschlüsselt erhält.
Aber ja, wäre wieder unpraktisch für die weniger technisch orientierten Kunden.
Doch gibt es einen Grund:
Der eingesetzte Chip kann das nicht und das Modell mit Verschlüsselung ist 0,5ct teurer.
Und "law"ful inspections wären auch nicht möglich.
It's a feature, sollte eigentlich nur nicht für die Endkunden sichtbar sein?
Früher stand CCTV für "Closed Circuit Television"; heute bedeutet es "Clooud Community Television"
Es gibt da wohl ein Statement, das die Wyze Software überlastet wurde, als der AWS Ausfall vorbei war und tausende Kameras auf einen Schlag wieder online wollten. Deren Software ist dann mit dem Index in die Datenbank durcheinander gekommen.
Schuld hatte nicht Wyze sondern der Hersteller einer neu hinzugefügten Bibliothek, die überlastet war. So die Heise Übersetzung.
Ja klar…