Wyze не предупредил своих клиентов, не выпустил исправление и не отозвал уязвимые устройства, а просто прекратил их выпуск.

Американский производитель устройств для «умного дома» Wyze в течение трех лет знал об уязвимости в своих камерах видеонаблюдения WyzeCam v1, с помощью которой хакеры могли следить за чужими домами через интернет, и не предупредил своих клиентов. Более того, обнаружившая проблему ИБ-компания позволила ему это сделать.

Wyze не только не предупредил своих клиентов о потенциальной опасности, но и не выпустил исправление, не отозвал уязвимые устройства, а просто прекратил их выпуск в январе нынешнего года без объяснения причин. Однако на этой неделе специалисты ИБ-компании Bitdefender наконец-то пролили свет на то, почему Wyze прекратил продавать WyzeCam v1. Как оказалось, злоумышленники могли получать доступ к SD-картам камер через интернет, похищать ключи шифрования, просматривать и загружать весь видеопоток.

Единственное, что производитель сообщил своим клиентам, так это то, что «использование WyzeCam после 1 февраля 2022 года представляет угрозу безопасности, Wyze не рекомендует это делать и не берет на себя ответственность за использование камер после этого срока».

Обнаружившие уязвимость специалисты Bitdefender связались с производителем в марте 2019 года, но получили ответ только в ноябре 2020-го, через год и восемь месяцев. Почему компания решила сообщить о проблеме широкой общественности только сейчас, непонятно, потому что такая практика не характерна для сообщества кибербезопасности. Ответственное раскрытие уязвимостей действительно предполагает некоторую отсрочку, чтобы у производителя было время их исправить, но обычно это 1-3 месяца, а не три года.

«То, что мы обнаружили, было настолько серьезным, что мы приняли решение отступить от своей политики раскрытия уязвимостей через 90 дней, поскольку публиковать отчет без ведома Wyze и в отсутствие исправлений потенциально поставило бы под угрозу миллионы пользователей с неизвестными последствиями», — сообщили представители Bitdefender изданию The Verge.

Источник: securitylab