Jeg har lige smidt mine Wyze hjemmeovervågningskameraer i skraldespanden. Jeg er færdig med dette firma.
Jeg har lige erfaret, at Wyze i de sidste tre år har været fuldt ud klar over en sårbarhed i deres hjemmesikkerhedskameraer, der kunne have ladet hackere kigge ind i dit hjem over internettet – men valgte at feje det ind under tæppet. Og sikkerhedsfirmaet, der fandt sårbarheden, lod dem stort set gøre det.
Tre år
I stedet for at lappe det, i stedet for at huske det, i stedet for bare, du ved, at sige noget, så jeg kunne holde op med at pege disse kameraer mod mine børn, besluttede Wyze simpelthen at stoppe med WyzeCam v1 i januar uden en fuldstændig forklaring. Men i tirsdags kastede sikkerhedsforskningsfirmaet Bitdefender endelig lys over, hvorfor Wyze holdt op med at sælge det: fordi nogen kunne få adgang til dit kameras SD-kort fra internettet, stjæle krypteringsnøglen og begynde at se og downloade dets videofeed.
Ingen steder siger Wyze noget lignende til kunder som mig. Ikke da det stoppede kameraet, ikke i de tre år siden Bitdefender gjorde Wyze opmærksom på det i marts 2019, og muligvis aldrig nogensinde: Wyze talsmand Kyle Christensen fortalte mig, at hvad virksomheden angår, har det allerede været gennemsigtigt med sine kunder og har “fuldstændigt rettet problemet”. Men Wyze korrigerede det kun for nyere versioner af WyzeCam, og selv da var det først færdig med at patche v2 og v3 den 29. januar 2022, ifølge BleepingComputer.
For så vidt angår at være gennemsigtig , det meste, jeg har set Wyze fortælle kunderne, var, at “din fortsatte brug af WyzeCam efter 1. februar 2022 indebærer øget risiko, frarådes af Wyze og er helt på egen risiko.” Det sender også nogle gange vage e-mails som denne til sine kunder, hvilket jeg plejede at sætte pris på, men nu stiller spørgsmålstegn ved tilbagevirkende kraft:
:no_upscale.com/cdnvo.com/cdn /chorus_asset/file/23356619/wyze_security_update.jpg "Jeg er færdig med Wyze")
Fra en 6. januar e-mail med titlen “Servicevilkår og sikkerhedsopdateringer” Skærmbillede af Sean Hollister/The Verge Da jeg læste disse ord om “øget risiko” i vores Verge-indlæg vedrørende WyzeCam v1's afbrydelse, kan jeg huske, at jeg tænkte, at det bare refererede til fremtidige sikkerhedsopdateringer – ikke en større sårbarhed, der allerede eksisterer.
Her er dog et andet spørgsmål: Hvorfor i alverden ville Bitdefender ikke afsløre dette i tre hele år, når det kunne have tvunget Wyzes hånd?
Hvorfor hører vi lige om dette nu?
Ifølge sikkerhedsforskningsfirmaets egen afsløringstidslinje (PDF) nåede den ud til Wyze i marts 2019 og fik ikke engang et svar før november 2020, et år og otte måneder senere. Alligevel valgte Bitdefender at tie stille indtil i går.
Hvis du undrer dig, nej, det er ikke normalt i sikkerhedssamfundet. Mens eksperter fortæller mig, at konceptet med en “ansvarlig afsløringstidslinje” er lidt forældet og stærkt afhænger af situationen, måler vi generelt i dage, ikke år. “Størstedelen af forskere har politikker, hvor hvis de gør en god tro indsats for at nå en leverandør og ikke får et svar, som de offentliggør inden for 30 dage,” Alex Stamos, direktør for Stanford Internet Observatory og tidligere sikkerhedschef på Facebook, fortæller mig.
“Selv den amerikanske regering har en 45-dages standard deadline for offentliggørelse for at forhindre leverandører i at begrave fejlrapporter og aldrig rette dem,” skriver Katie Moussouris, grundlægger og administrerende direktør for Luta Security og co. -forfatter af de internationale ISO-standarder for afsløring af sårbarheder og sårbarhedshåndteringsprocesser.
Jeg spurgte Bitdefender om dette, og PR-direktør Steve Fiore havde en forklaring, men det falder mig ikke i god jord. Her er den i sin helhed:
Vores resultater var så alvorlige, at vores beslutning, uanset vores sædvanlige 90-dages-med-henstandsperiode-forlængelse-politik, var, at udgivelse af denne rapport uden Wyzes anerkendelse og afhjælpning ville afsløre potentielt millioner af kunder med ukendte implikationer. Især da leverandøren ikke havde en (for os) kendt sikkerhedsproces/ramme på plads. Wyze implementerede faktisk en sidste år som et resultat af vores resultater (https://www.wyze.com/pages/security-report).
Vi har forsinket udgivelse af rapporter (iBaby Monitor M6S-kameraer) i længere perioder af samme grund før. Virkningen af at offentliggøre resultaterne, kombineret med vores mangel på information om leverandørens evne til at imødegå nedfaldet, dikterede vores ventetid.
Vi forstår, at dette ikke nødvendigvis er en almindelig praksis med andre forskere, men at afsløre resultaterne, før leverandøren har givet patches, ville have sat mange mennesker i fare. Så da Wyze til sidst kommunikerede og gav os troværdige oplysninger om deres evne til at løse de rapporterede problemer, besluttede vi at give dem tid og tildelte forlængelser.
Nogle gange giver det mening at vente. Begge de eksperter, jeg talte med, Moussouris og Stamos, rejste uafhængigt af hinanden de berygtede Meltdown-computers CPU-sårbarheder som et eksempel på, hvor det var vanskeligt at balancere sikkerhed og afsløring – på grund af hvor mange mennesker der var berørt, hvor dybt indlejret computerne kan være, og hvor svære de er at rette.
Men et forbrugskamera til 20 $, der bare sidder på min hylde? Hvis Bitdefender udsendte en pressemeddelelse for to år siden om, at Wyze havde en fejl, den ikke fikser, er det pokkers nemt at stoppe med at bruge det kamera, ikke købe flere af dem og vælge et andet i stedet. “Der er en nem afbødningsstrategi for berørte kunder,” siger Stamos.
IBaby Monitor-eksemplet, som Bitdefender bringer frem, er også lidt ironisk – for dér tvang Bitdefender faktisk en virksomhed til handling. Da Bitdefender og PCMag afslørede, at babyalarmfirmaet ikke havde rettet sit sikkerhedshul, skubbede den resulterende dårlige omtale dem til at rette det kun tre dage senere.
Dage, ikke år.
:no_upscale()nvo. - no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23356659/IMG_2070.jpg 320w, https://cdn.vox-cdn.com/thumbor/-KSashfo1q_uE6qP6Fn86zHn/32x00filter/42x00filter/32x00/42x00filter :focal(0x0:4032x3024):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23356659/IMG_2070.jpg 520w, https://cdn.vox-cdn.com/thumbor/thumbor/thumbor/b18MeXEzg 0x0:4032x3024/720x0/filters:focal(0x0:4032x3024):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23356659/IMG_2070.jpg https://cdn.vo, https://7cdn.vo com/thumbor/kZX-DEsWn35FzaOLSoFFK-cQcNc=/0x0:4032x3024/920x0/filters:focal(0x0:4032x3024):no_upscale()/cdn.vox-cdn.com/uploads3file/chorus/620x0/520x0/520x0 , https://cdn.vox-cdn.c om/thumbor/EdLc46pY8-gFVxbcUTkD71un0QU=/0x0:4032x3024/1120x0/filters:focal(0x0:4032x3024):no_upscale()/cdn.vox-cdn.com/2305 : /IMG_2070.jpg 1320w, https://cdn.vox-cdn.com/thumbor/F7D9i6YaR2tx5I6IoLRbq-3HYis=/0x0:4032x3024/1520x0/filters:focal(0x0_scale(0x0:043)/ncd-nc0:040.ncd/ncd/ncd-2000. com/uploads/chorus_asset/file/23356659/IMG_2070.jpg 1520w, https://cdn.vox-cdn.com/thumbor/XxkCh_B0kKv2axB6nYjRW7DPhws=/0x0:4032/4032/4032/1720:0x0:4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/4032/1000:(3032/4032/1000:0200:0200:0200:02000000): /cdn.vox-cdn.com/uploads/chorus_asset/file/23356659/IMG_2070.jpg 1720w, https://cdn.vox-cdn.com/thumbor/64HYfPIFtby8lG1L3DAuYAI0KSw=4/02x0:/320x0:/320x0:/2000 :4032x3024):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23356659/IMG_2070.jpg 1920w "Jeg er færdig med Wyze")
Spøger ikke. Foto af Sean Hollister/The Verge Nu, hvis du vil undskylde mig, er jeg nødt til at sige farvel til de Wyze-øretelefoner, jeg kunne lide, for jeg mener det seriøst med at være færdig med Wyze . Jeg var villig til at afskrive virksomhedens katastrofale læk af 2,4 millioner kunders data som en fejl, men det ser ikke ud til, at virksomheden har lavet en her. Hvis disse fejl var slemme nok til at stoppe kameraet i 2022, fortjente kunderne at vide det tilbage i 2019.