Certains propriétaires de caméras Wyze ont signalé qu’ils avaient soudainement accès à des caméras qui n’étaient pas les leurs et qu’ils avaient même reçu des notifications pour des événements se déroulant chez d’autres personnes. Le cofondateur de Wyze, David Crosby, a confirmé le problème à Le bord, indiquant aux publications que « certains utilisateurs ont pu voir des vignettes de caméras qui n’étaient pas les leurs dans l’onglet Événements ». Les utilisateurs ont commencé à voir les flux de caméras d’étrangers dans leurs comptes après une panne qui, selon Wyze, était causée par un problème d’Amazon Web Services.
Crosby a écrit dans un message sur le forum Wyze que les serveurs de l’entreprise ont été surchargés, ce qui a corrompu certaines données utilisateur, après la panne. Le problème de sécurité résultant de cet événement permettait alors aux utilisateurs de « voir des vignettes de caméras qui n’étaient pas les leurs dans l’onglet Événements ». Les utilisateurs ne pouvaient pas voir ces vidéos et ne pouvaient voir que leurs miniatures, a-t-il précisé, et ils ne pouvaient pas voir les flux en direct des caméras d’autres personnes. Wyze a pu identifier 14 incidents avant de supprimer complètement l’onglet Événements.
La société a déclaré qu’elle allait informer tous les utilisateurs concernés et qu’elle avait déconnecté de force tous ceux qui ont récemment utilisé l’application Wyze afin de réinitialiser les jetons. « Nous vous expliquerons plus en détail une fois que nous aurons fini d’enquêter exactement sur la façon dont cela s’est produit et nous prendrons les mesures supplémentaires que nous prendrons pour nous assurer que cela ne se reproduise plus », a ajouté Crosby.
Bien que l’entreprise n’ait pas encore d’explication détaillée sur ce qui s’est passé, sa confirmation rapide de l’incident constitue un changement considérable par rapport à la façon dont elle avait précédemment traité une faille de sécurité. En 2022, la société de cybersécurité Bitdefender a révélé qu’en mars 2019, elle avait informé Wyze d’une vulnérabilité de sécurité majeure dans le modèle Wyze Cam v1. Cependant, la société n’a pas informé ses clients de la faille et n’a publié de correctif que trois ans plus tard.
Mise à jour, 20 février 2024, 21 h 08 HE : Dans un e-mail reçu par Engadget, Wyze admet aux utilisateurs concernés qu’« environ 13 000 utilisateurs de Wyze ont reçu des vignettes de caméras qui n’étaient pas les leurs et 1 504 utilisateurs ont tapé dessus. La plupart des clics ont agrandi la vignette, mais dans certains cas, une vidéo d’événement a pu être consulté. »
La société a ensuite expliqué que ce problème était dû à une confusion entre l’ID de périphérique et le mappage de l’ID utilisateur, en raison d’une nouvelle bibliothèque client de mise en cache tierce qui avait du mal à faire face à la charge de données « sans précédent » des appareils clients qui redémarraient tous à une fois. Wyze promet d’éviter que cela ne se reproduise en ajoutant « une nouvelle couche de vérification » pour les connexions, et qu’il recherchera des bibliothèques clientes plus fiables pour faire face à de tels incidents.