Wyze güvenlik kameralarıyla ilgili, müşterilerin kısa bir süre boyunca diğer kullanıcıların evlerini görmesine izin veren bir durum yaşandı. Güvenlik sorunlarının etkisi, başlangıçta tahmin edilenden çok daha büyük görünüyor. Şirketin kurucusu, sadece birkaç hafta önce sadece 14 kullanıcının başka birinin Wyze kamerasından görüntü paylaştığını açıkladıktan sonra, bu rakamın 13 bine yükseldiğini belirtti.
Wyze müşterilerine “Wyze’den Önemli Bir Güvenlik Mesajı” başlıklı bir e-posta ile durumu bildirdi. İhlali kabul eden şirket, altyapı sağlayıcısı AWS’ye (Amazon Work Station) de kısmi sorumluluk yüklemeye çalıştı.
Wyze güvenlik skandalı: Binlerce kullanıcının mahremiyeti tehlikede
Kullanıcılar güvenlik kameraların geçmişini kontrol ettiğinde başka kullanıcıların geçmiş kayıtlarına yanlışlıkla erişebiliyordu. Şirket bu yaşanan sorunu altyapıya bağladı ve şu şekilde açıklama yaptı:
“AWS altyapımızda yaşanan arıza Cuma sabahı erken saatlerde kameralarımızı devre dışı bıraktı. O dönemde canlı görüntüleri veya etkinlik geçmişini görüntülemeye çalıştıysanız karşılaştığınız sorundan dolayı çok üzgünüz.”
Güvenlik ihlalini aştıklarını düşünen şirket, sistemlerini tekrar çevrimiçi (online) hale getirmeye hazırlandı. Fakat Wyze mühendisleri aynı sorun ile tekrar karşılaştı. Bu sorun kullanıcılar kendi geçmiş etkinlik sekmelerinde rastgele resimler ve video görüntüleriyle karşılaştıklarını rapor ettiler. Bu rastgele resimler ve videolar başka kullanıcılara aitti. Sorunu araştıran Wyze daha önce olduğu gibi “geçmiş etkinlik” erişimini kapatmak zorunda kaldı.
Wyze yedekleme yapmak için sistemlerine entegre ettikleri “üçüncü parti bir kütüphaneye” kullanıyor. Kullanıcılar sistemin arayüzünden geçmişte yaşananları kontrol etmek için aslında buraya erişim sağlıyorlar. Şirket yetkilileri aşırı yüklenen kütüphanenin cihaz ve kullanıcı kimlikleri arasında karışıklığa sebep olarak bazı verileri yanlış hesaplara bağladığını belirtiyor.
Ancak sorun şu ki yaklaşık 13 bin hesap sahibi başka evlere ait resim ve videoları gördü. Büyük bir ihlalin eşiğinde olan Wyze’in açıklamasına göre 1504 kişi resimlere ulaştı ve içeriği açtı. Bazı kullanıcılar ise izlemeye izin verilen videolara bile denk geldi. Etkilenen kullanıcılara bildirim yapıldığını iddia eden Wyze, toplam müşterilerin %99’undan fazlasının herhangi bir olumsuz durum yaşamadığını söylüyor.
Wyze kullanıcıları Reddit ve diğer platformlarda öfke dolu tepkiler yayınlıyor. İhlal sırasında işe hazırlanırken görüntülendiğini ifade eden bir kullanıcı kendini “iğrenmiş ve endişeli” olarak tarif ederek hesabını sileceğini dile getirdi.
Büyük kullanıcı kaybı endişesi yaşayan Wyze, sorunları gidermek için geçmiş etkinlik sekmesinde ekstra doğrulama katmanı ekleme kararı aldı. Şirket durumun daha da kötüye gitmemesi için e-posta yoluyla bazı açıklamalar yaptı. “Ayrıca Cuma günü yaşadığımız yoğunluk için test edilmiş güvenilir kütüphaneler bulana kadar ön belleklemeyi aşacak bir mekanizma geliştirdik” cümleleriyle açıklama devam ediyor.
Google Chrome güvenliği arttırıyor
Wyze ekibi e-postayı özür dileyerek kapatıyor. İhlalden etkilenip etkilenmemelerinden farkında olmayanlara “müjdeli olmayan bu habere hayal kırıklığı yaşayacaklar”ın varlığını kabul ediyorlar. Ancak bu açıklamalar bile hukuki süreçlerle karşı karşıya kalmalarını önlemeye yetmeyebilir.
Wyze’ın müşterilerine gönderdiği e-postanın Türkçe çevirisi de aşağıda yer almaktadır:
Wyze’dan Önemli Bir Güvenlik Mesajı
Sevgili Wyze Dostları,
Cuma sabahı, bir hizmet kesintisi yaşadık ve bu da bir güvenlik olayına yol açtı. Hesabınız ve tüm Wyze hesaplarının %99,75’inden fazlası bu güvenlik olayından etkilenmedi, ancak sizi olaydan haberdar etmek ve bir daha yaşanmaması için neler yaptığımızı bildirmek istedik.
Kesinti, AWS ortağımızdan kaynaklandı ve Cuma sabahı erken saatlerde Wyze cihazlarını birkaç saatliğine devre dışı bıraktı. O sırada canlı kameraları veya Etkinlikleri görüntülemeye çalıştıysanız, muhtemelen bunu yapamadınız. Yaşattığımız hayal kırıklığı ve kafa karışıklığı için çok üzgünüz.
Kameraları tekrar çevrimiçi hale getirmeye çalışırken bir güvenlik sorunu yaşadık. Bazı kullanıcılar Etkinlik sekmesinde yanlış küçük resimler ve Etkinlik Videoları gördüklerini bildirdi. Etkinlik sekmesine erişimi derhal kaldırdık ve bir soruşturma başlattık.
Artık, kameralar tekrar çevrimiçi hale gelirken yaklaşık 13.000 Wyze kullanıcısının kendilerine ait olmayan kameralardan küçük resimler aldığını ve 1.504 kullanıcının bunlara tıkladığını teyit edebiliyoruz. Tıklamaların çoğu küçük resmi büyütmek için yapıldı, ancak bazı durumlarda bir Etkinlik Videosu da izlenebildi. Etkilenen tüm kullanıcılar bilgilendirildi. Hesabınız etkilenen hesaplardan biri değil.
Olay, yakın zamanda sistemimize entegre edilmiş üçüncü taraf bir ön belleğe alma istemci kütüphanesinden kaynaklandı. Bu istemci kütüphanesi, cihazların aynı anda çevrimiçi hale gelmesi nedeniyle aşırı yüklenme koşullarına maruz kaldı. Artan talep nedeniyle, cihaz kimliği ve kullanıcı kimliği eşlemesini karıştırdı ve bazı verileri yanlış hesaplara bağladı.
Bir daha yaşanmamasını sağlamak için kullanıcıların Etkinlik Videolarına bağlanmadan önce yeni bir doğrulama katmanı ekledik. Ayrıca, aşırı olaylar için iyice stres testi yapılmış yeni istemci kütüphaneleri bulana kadar kullanıcı-cihaz ilişkilerini kontrol etmede ön belleğe almayı atlamak için sistemimizi de değiştirdik.
Bunun çok hayal kırıklığı yaratacak bir haber olduğunun farkındayız. Müşterileri korumaya olan bağlılığımızı veya son yıllarda güvenliği Wyze’da en önemli öncelik haline getirmek için yaptığımız diğer yatırımları ve eylemleri yansıtmaz. Bir güvenlik ekibi kurduk, birden fazla süreç uygulamaya koyduk, yeni kontrol panelleri oluşturduk, bir hata ödül programı sürdürdük ve bu olay gerçekleştiğinde birden fazla üçüncü taraf denetimi ve sızma testi yaptırıyorduk.
Daha fazlasını yapmamız ve daha iyi olmamız gerekiyor ve yapacağız. Bu olay için çok üzgünüz ve güveninizi yeniden kazanmaya kararlıyız.
Hesabınızla ilgili sorularınız varsa, lütfen support.wyze.com adresini ziyaret edin.
- Wyze Ekibi
Öne çıkan kaynak görseli: Furkan Demirkaya
