Saya sudah selesai dengan Wyze

Saya baru sahaja membuang kamera keselamatan rumah Wyze saya ke dalam tong sampah. Saya sudah selesai dengan syarikat ini.

Saya baru belajar itu selama tiga tahun yang lalu, Wyze telah menyedari sepenuhnya tentang kelemahan dalam kamera keselamatan rumahnya yang boleh membenarkan penggodam melihat ke dalam rumah anda melalui internet — tetapi memilih untuk menyapunya di bawah permaidani. Dan firma keselamatan yang mendapati kelemahan sebahagian besarnya membenarkan mereka melakukannya.

Daripada menampalnya, bukannya mengingatnya, bukannya sekadar, anda tahu, berkata sesuatu supaya saya boleh berhenti menghalakan kamera ini kepada anak-anak saya, Wyze hanya memutuskan untuk menghentikan WyzeCam v1 Januari ini tanpa penjelasan penuh. Tetapi pada hari Selasa, firma penyelidikan keselamatan Bitdefender akhirnya memberi pencerahan tentang sebab Wyze berhenti menjualnya: kerana seseorang boleh mengakses kad SD kamera anda dari internet, mencuri kunci penyulitan dan mula menonton dan memuat turun suapan videonya.

Tiada tempat Wyze berkata seperti itu kepada pelanggan seperti saya. Bukan apabila kamera itu dihentikan, bukan dalam tempoh tiga tahun sejak Bitdefender membawanya ke perhatian Wyze pada Mac 2019, dan mungkin tidak pernah: Jurucakap Wyze Kyle Christensen memberitahu saya bahawa setakat syarikat itu, ia sudah telus dengan pelanggannya dan telah “membetulkan sepenuhnya isu itu”. Tetapi Wyze hanya membetulkannya untuk versi WyzeCam yang lebih baharu, dan walaupun begitu ia hanya selesai menampal v2 dan v3 pada 29 Januari 2022, mengikut BleepingKomputer.

Setakat telus, perkara yang paling saya lihat Wyze memberitahu pelanggan ialah “penggunaan berterusan WyzeCam anda selepas 1 Februari 2022 membawa risiko yang lebih tinggi, tidak digalakkan oleh Wyze dan sepenuhnya atas risiko anda sendiri.” Ia juga kadangkala menghantar mesej e-mel yang samar-samar seperti ini kepada pelanggannya, yang pernah saya hargai tetapi kini mempersoalkan secara retroaktif:

Daripada e-mel 6 Januari bertajuk “Syarat Perkhidmatan dan Kemas Kini Keselamatan”
Petikan skrin oleh Sean Hollister / The Verge

Apabila saya membaca perkataan tentang “risiko yang meningkat” dalam kami tepi jawatan mengenai pemberhentian WyzeCam v1, saya masih ingat bahawa ia hanya merujuk masa hadapan kemas kini keselamatan — bukan kelemahan utama yang sudah wujud.


Berikut adalah satu lagi soalan, walaupun: Mengapa di bumi Bitdefender tidak akan mendedahkan ini selama tiga tahun penuh, sedangkan ia boleh memaksa tangan Wyze?

Menurut firma penyelidikan keselamatan garis masa pendedahan (PDF) sendiriia menghubungi Wyze pada Mac 2019 dan tidak mendapat pun tindak balas sehingga November 2020, setahun dan lapan bulan kemudian. Namun Bitdefender memilih untuk berdiam diri sehingga semalam.

Sekiranya anda tertanya-tanya, tidak, itu bukan perkara biasa dalam komuniti keselamatan. Walaupun pakar memberitahu saya bahawa konsep “garis masa pendedahan yang bertanggungjawab” agak ketinggalan zaman dan sangat bergantung pada situasi, kami biasanya mengukur dalam hari, bukan tahun. “Majoriti penyelidik mempunyai dasar di mana jika mereka berusaha dengan niat yang baik untuk menghubungi vendor dan tidak mendapat respons, mereka mendedahkan secara terbuka dalam masa 30 hari,” Alex Stamos, pengarah Balai Cerap Internet Stanford dan bekas ketua pegawai keselamatan di Facebook, memberitahu saya.

“Malah kerajaan AS telah tarikh akhir pendedahan lalai selama 45 hari untuk menghalang vendor daripada menguburkan laporan pepijat dan tidak sekali-kali membetulkannya,” tulis Katie Moussouris, pengasas dan Ketua Pegawai Eksekutif Luta Security dan pengarang bersama piawaian ISO antarabangsa untuk pendedahan kerentanan dan proses pengendalian kerentanan.

Saya bertanya kepada Bitdefender tentang perkara ini, dan pengarah PR Steve Fiore mempunyai penjelasan, tetapi ia tidak sesuai dengan saya. Berikut adalah sepenuhnya:

Penemuan kami sangat serius, keputusan kami, tanpa mengira dasar pelanjutan 90 hari dengan tempoh tangguh biasa kami, adalah penerbitan laporan ini tanpa pengakuan dan pengurangan Wyze akan mendedahkan berpotensi berjuta-juta pelanggan dengan implikasi yang tidak diketahui. Terutama kerana vendor tidak mempunyai proses / rangka kerja keselamatan yang diketahui (kepada kami). Wyze sebenarnya melaksanakan satu tahun lepas hasil daripada penemuan kami (https://www.wyze.com/pages/security-report).

Kami telah menangguhkan laporan penerbitan (kamera iBaby Monitor M6S) untuk tempoh yang lebih lama atas sebab yang sama sebelum ini. Kesan daripada membuat penemuan umum, ditambah pula dengan kekurangan maklumat kami tentang keupayaan vendor untuk menangani kejatuhan, menentukan penantian kami.

Kami faham bahawa ini tidak semestinya amalan biasa dengan penyelidik lain, tetapi mendedahkan penemuan sebelum meminta vendor menyediakan tampalan akan menyebabkan ramai orang berisiko. Oleh itu, apabila Wyze akhirnya berkomunikasi dan memberikan kami maklumat yang boleh dipercayai tentang keupayaan mereka untuk menangani isu yang dilaporkan, kami memutuskan untuk memberi mereka masa dan memberikan sambungan.

Menunggu kadang-kadang masuk akal. Kedua-dua pakar yang saya ajak bicara, Moussouris dan Stamos, dibesarkan secara bebas kelemahan CPU komputer Meltdown yang terkenal sebagai contoh sukar untuk mengimbangi keselamatan dan pendedahan — kerana bilangan orang yang terjejas, sejauh mana kedalaman komputer yang dibenamkan dan betapa sukarnya untuk dibaiki.

Tetapi kamera rumah pintar pengguna $20 hanya terletak di rak saya? Jika Bitdefender mengeluarkan kenyataan akhbar dua tahun lalu bahawa Wyze mempunyai kecacatan yang tidak dapat diperbaiki, adalah sangat mudah untuk berhenti menggunakan kamera itu, tidak membeli lebih banyak daripada mereka, dan sebaliknya memilih yang lain. “Terdapat strategi pengurangan mudah untuk pelanggan yang terjejas,” kata Stamos.

Contoh iBaby Monitor yang dibawakan oleh Bitdefender juga agak ironis — kerana di sana, Bitdefender sebenarnya lakukan memaksa syarikat untuk bertindak. Bila Bitdefender dan PCMag didedahkan bahawa syarikat pemantau bayi tidak menambal lubang keselamatannya, publisiti buruk yang terhasil mendorong mereka untuk memperbaikinya hanya tiga hari kemudian.

Hari, bukan tahun.

1648693405 974 Saya sudah selesai dengan Wyze

Bukan bergurau.
Foto oleh Sean Hollister / The Verge

Sekarang kalau awak maafkan saya, saya perlu pergi mengucapkan selamat tinggal kepada fon telinga Wyze yang saya suka, kerana saya serius untuk selesai dengan Wyze. Saya sanggup melupuskan kebocoran dahsyat syarikat terhadap 2.4 juta data pelanggan sebagai satu kesilapan, tetapi nampaknya syarikat itu tidak melakukannya di sini. Jika kelemahan ini cukup buruk untuk menghentikan kamera pada tahun 2022, pelanggan berhak mengetahuinya pada tahun 2019.

We would love to thank the author of this short article for this remarkable material

Saya sudah selesai dengan Wyze


Find here our social media profiles and the other related pageshttps://paw6.info/related-pages/