No es la primera vez que un fabricante o compañía de cámaras de videovigilancia ha tenido brechas de seguridad en sus productos y sistemas. Esto suele desembocar en situaciones no deseadas como que alguien ajeno a nuestro hogar se haga dueño de las imágenes que capte el sistema de seguridad.
La empresa Wyze, especializada en productos y servicios de videovigilancia está pasando por una crisis similar. Y lo peor es que no ha sido la primera vez. Y es que al parecer sus sistemas han permitido que sus usuarios puedan acceder a las cámaras de otras personas totalmente ajenas. El número total de afectados alcanzaría los 13.000 usuarios según The Verge.
Usuarios que podían ver imágenes y vídeos de otros usuarios ajenos
La semana pasada, David Crosby, cofundador de la empresa, alertó que la compañía solamente había identificado unas 14 personas afectadas por un problema de seguridad donde dicho número de personas tenían acceso a las cámaras de otra persona ajena. Ahora, según el medio, el problema habría afectado a muchas más personas de las esperadas.
Esta información viene de un e-mail enviado a los usuarios con el asunto “Un importante mensaje de seguridad de Wyze”. La compañía explicaba lo ocurrido con la brecha de seguridad mientras pedía perdón a los usuarios por la situación. Tampoco desaprovechó la oportunidad de redirigir la culpa al proveedor de hosting, en este caso AWS (Amazon Web Services).
"La interrupción se originó en nuestro socio AWS y dejó fuera de servicio los dispositivos Wyze durante varias horas a primera hora de la mañana del viernes. Si intentó ver cámaras en directo o eventos durante ese tiempo, probablemente no pudo hacerlo. Lamentamos mucho la frustración y la confusión que esto causó,” explicaba la compañía en el e-mail.
La brecha de seguridad se originó justamente cuando Wyze intentaba volver a establecer en línea sus servicios. Desde entonces comenzaron a aparecer múltiples informes de usuarios asegurando ver múltiples imágenes y vídeos de otras personas en la pestaña de ‘Eventos’ de su aplicación.
Al poco tiempo después, Wyze deshabilitó el acceso a esta pestaña hasta completar la investigación del suceso. Según la empresa, el incidente se dio lugar debido a un cliente de terceros recientemente añadido a sus sistemas.
“Este cliente recibió condiciones de carga fuera de lo comunes causadas por dispositivos que volvían a estar en línea de forma simultánea. Como consecuencia del aumento de la demanda, se mezclaron las asignaciones de ID de dispositivo e ID de usuario y se conectaron algunos datos a cuentas incorrectas,” aseguraban desde Wyze.
En ese momento ya era tarde para enmendar el error, ya que se estiman que 13.000 personas tuvieron acceso a las imágenes y vídeo de otros usuarios ajenos. Desde Wyze admiten que unas 1.504 personas pulsaron en las imágenes y unos “pocos usuarios” tuvieron acceso a vídeos.
Según la compañía, todos los usuarios afectados fueron alertados del problema de seguridad y que “el 99% de los usuarios no estuvieron afectados”. En Reddit, el tema ha recibido un gran impacto. De hecho, una usuaria de la plataforma, que se describía a sí misma como “una chica de 23 años,” se estaba preparando para ir a trabajar durante la brecha de seguridad, afirmando estar “disgustada y decepcionada”, asegurando querer eliminar su cuenta. “Me siento violada,” continuaba.
Wyze ha modificado su sistema para implementar capas adicionales de seguridad antes de que los usuarios puedan acceder a las imágenes y vídeos. “También hemos modificado nuestro sistema para omitir el almacenamiento en caché de las comprobaciones de las relaciones usuario-dispositivo hasta que identifiquemos nuevas bibliotecas de clientes sometidas a pruebas de estrés exhaustivas para eventos extremos como el que experimentamos el viernes,” se podía leer también en el mail.
Ante esta falta grave de seguridad, queda por ver si los organismos reguladores toman cartas en el asunto. Con la influencia de Wyze en este sector, es muy posible que la compañía acabe percibiendo alguna multa económica.
En Xataka Smart Home | Qué tener en cuenta antes de comprar un sistema de seguridad inteligente para casa