Wyze sabía que los piratas informáticos podían acceder de forma remota a su cámara durante tres años y no dijo nada

Acabo de tirar mis cámaras de seguridad Wyze a la basura. He terminado con este negocio.

acabo de aprender eso por los últimos tres añosWyze es plenamente consciente de una vulnerabilidad en las cámaras de seguridad de su hogar que permitía a los piratas informáticos inspeccionar su hogar a través de Internet, pero optó por esconderlo debajo de la alfombra. Y la empresa de seguridad que encontró la vulnerabilidad en gran medida les permitió hacerlo.

En lugar de parchearlo, en lugar de recuperarlo, en lugar de simplemente, ya sabes, decir algo así que ya no podía apuntar estas cámaras a mis hijos, Wyze decidió en enero descontinuar WyzeCam v1 sin una explicación completa. Pero el martes, la firma de investigación de seguridad Bitdefender finalmente arrojó luz sobre por qué Wyze dejó de venderlo: porque alguien podría acceder a la tarjeta SD de su cámara a través de Internet, robar la clave de cifrado y comenzar a ver y descargar el video.

En ninguna parte Wyze dice tal cosa a clientes como yo. Ni cuando apagó la cámara, ni en los tres años transcurridos desde que Bitdefender llamó la atención de Wyze en marzo de 2019, y posiblemente nunca: el portavoz de Wyze, Kyle Christensen, me dijo que, en lo que respecta a la empresa, ya ha sido transparente con sus clientes. y ha “corregido completamente” el problema. Pero Wyze solo lo corrigió para las versiones más nuevas de WyzeCam, e incluso entonces no terminó de parchear v2 y v3 hasta el 29 de enero de 2022, según BleepingEquipo

En cuanto a la transparencia, lo más que he visto a Wyze decirles a los clientes fue que “el uso continuo de WyzeCam después del 1 de febrero de 2022 conlleva un mayor riesgo, Wyze lo desaconseja y es completamente bajo su propio riesgo”. A veces, también envía correos electrónicos vagos como este a sus clientes, lo que solía apreciar, pero ahora pregunto retroactivamente:

De un correo electrónico del 6 de enero titulado “Términos de servicio y actualizaciones de seguridad”
Captura de pantalla de Sean Hollister / The Verge

Cuando leo esas palabras sobre “mayor riesgo” en nuestro borde del camino publicación sobre la interrupción de WyzeCam v1, recuerdo que pensé que solo se refería a futuro actualizaciones de seguridad: no es una vulnerabilidad importante que ya existe.


Sin embargo, aquí hay otra pregunta: ¿por qué demonios Bitdefender no reveló esto durante tres años cuando podría haber forzado la mano de Wyze?

Según su cronograma de divulgación de investigación de seguridad (PDF), se comunicó con Wyze en marzo de 2019 y ni siquiera obtuvo una respuesta. respuesta hasta noviembre de 2020, un año y ocho meses después. Aún así, Bitdefender optó por permanecer en silencio hasta ayer.

En caso de que se lo pregunte, no, eso no es normal en la comunidad de seguridad. Si bien los expertos me dicen que el concepto de un “cronograma de divulgación responsable” está un poco desactualizado y depende en gran medida de la situación, generalmente medimos en Amanecer, no años. “La mayoría de los investigadores tienen la política de hacer divulgaciones públicas dentro de los 30 días si intentan de buena fe comunicarse con un proveedor y no obtienen respuesta”, dijo Alex Stamos, director del Observatorio de Internet de Stanford y exjefe de seguridad. en Facebook, me dice.

“Incluso el gobierno de EE. UU. tiene un plazo estándar de 45 días para evitar que los proveedores entierren los informes de errores y nunca los arreglen”, escribe Katie Moussouris, fundadora y directora ejecutiva de Luta Security y coautora de Normas internacionales ISO sobre divulgación de vulnerabilidades y vulnerabilidades. procesos de procesamiento.

Le pregunté a Bitdefender sobre esto y el director de relaciones públicas Steve Fiore me dio una explicación, pero no me conviene. Aquí es en su totalidad:

Nuestros hallazgos fueron tan serios que, independientemente de nuestra política habitual de extensiones de 90 días con período de gracia, nuestra decisión fue que publicar este informe sin el reconocimiento y la restricción de Wyze potencialmente expondría a millones de clientes con implicaciones desconocidas. Principalmente porque el proveedor no tenía un proceso/marco de seguridad (conocido por nosotros). Wyze incluso implementó uno el año pasado como resultado de nuestros hallazgos (https://www.wyze.com/pages/security-report).

Por la misma razón, hemos pospuesto la publicación de informes (cámaras iBaby Monitor M6S) por un período prolongado de tiempo. El impacto de hacer públicos los hallazgos, junto con nuestra falta de información sobre la capacidad del proveedor para abordar el impacto, dictó nuestra espera.

Entendemos que esta no es necesariamente una práctica común entre otros investigadores, pero hacer públicos los hallazgos antes de que el proveedor proporcione los parches habría puesto en riesgo a muchas personas. Entonces, cuando Wyze finalmente se comunicó y nos brindó información confiable sobre su capacidad para abordar los problemas informados, decidimos darles tiempo y permitir que se demoren.

A veces tiene sentido esperar. Los dos expertos con los que hablé, Moussouris y Stamos, mencionaron de forma independiente las infames vulnerabilidades de la CPU de la computadora Meltdown como un ejemplo de dónde era difícil equilibrar la seguridad y la divulgación, debido a la cantidad de personas afectadas, qué tan profundamente integradas estaban las computadoras. eran, y lo difíciles que son de reparar.

¿Pero una cámara doméstica inteligente para el consumidor de $ 20 que simplemente se sienta en mi estante? Si Bitdefender emitió un comunicado de prensa hace dos años de que Wyze tenía un error que no solucionará, es muy fácil dejar de usar esa cámara, comprar una más y elegir otra en su lugar. “Existe una estrategia de mitigación fácil para los clientes afectados”, dice Stamos.

El ejemplo de iBaby Monitor que menciona Bitdefender también es un poco irónico, porque Bitdefender en realidad hizo obligar a una empresa a actuar. Cuando Bitdefender y PCMag revelaron que la compañía de monitores para bebés no había reparado la vulnerabilidad, la mala publicidad resultante los obligó a solucionarlo solo tres días después.

Días, no años.

No es broma.
Foto de Sean Hollister / The Verge

Ahora, si me disculpan, tengo que despedirme de esos auriculares Wyze que me gustaban porque en serio he terminado con Wyze. Estaba dispuesto a descartar la desastrosa filtración de la empresa de 2,4 millones de datos de clientes como un error, pero no parece que la empresa haya cometido un error aquí. Si estas fallas fueron lo suficientemente malas como para que la cámara se descontinúe en 2022, los clientes merecen saberlo en 2019.

Leave a Comment