Производитель разных устройств для «умного дома» компания Wyze знала об уязвимости в своем оборудовании в течение трех лет, но ничего с этим не делала. Уязвимость была в камерах видеонаблюдения WyzeCam v1. Используя её хакеры, могли следить за чужими домами через интернет.
Компания по информационной безопасности, обнаружившая данную проблему, позволила Wyze молчать. Кроме того, что клиенты производителя устройств были в неведении, Wyze не выпустила исправление безопасности для своих камер и не отозвала их. Компания просто прекратила их выпуск в январе 2022 года без объяснения причин.
Специалисты ИБ-компании Bitdefender, нашедшие уязвимость, все-таки рассказали, почему Wyze прекратил выпуск камер WyzeCam v1. Оказалось, хакеры могли получать через интернет доступ к SD-картам камер, красть ключи шифрования, а потом просматривать и загружать видео с устройства. Специалисты Bitdefender сообщили производителю в марте 2019 года о проблеме, но ответ пришел только в ноябре 2020-го, через двадцать месяцев.
О проблеме Wyze не сообщил своим клиентам, но указал, что использование WyzeCam v1 после 1 февраля 2022 года представляет угрозу безопасности. Компания не рекомендует эти камеры и не берет на себя ответственность за их использование после этого срока.
Есть вопросы и к ИБ-компании, обнародовавшей данные об уязвимости. Почему она решила сообщить о проблеме только сейчас? Такая практика не характерна в сфере кибербезопасности. Для раскрытия уязвимостей действительно дается определенная отсрочка, чтобы уведомленные компании приняли меры для исправления — примерно 3 месяца, но не три года. В интервью изданию The Verge Bitdefender объяснила свою молчаливую позицию по уязвимости своей серьезностью. Она посчитала, что обнародование проблемы могло нанести еще больший вред для миллионов пользователей, тем более в отсутствии исправления безопасности устройств последствия были непредсказуемы. Поэтому компания отступила от привычной политики раскрытия уязвимости через 3 месяца.