Wyze-Kameras zeigten plötzlich Bilder aus fremden Wohnungen.
Wyze

Am Anfang waren es nur 14 Kunden, die von einer peinlichen Panne beim Sicherheitskamera-Hersteller Wyze betroffen waren: Die von den Kameras übermittelten Bilder zeigten nicht die eigene Wohnung, sondern jene von völlig Fremden. Ein Datenschutz-Albtraum und ein peinlicher Fehler, der dem Unternehmen da unterlaufen ist. Wie sich nun herausstellte, dürften aber deutlich mehr Kunden von dem Sicherheits-Hoppala betroffen sein. Wie unter anderen "The Verge" berichtet, dürften 13.000 Kunden betroffen sein.

Wyze gibt AWS die Schuld

Bekannt wurde die Panne durch zahlreiche Social-Media-Postings und eine anschließende E-Mail, die Wyze-Kunden erhielten. Der Betreff suggerierte einen wichtigen Sicherheitshinweis. In der Nachricht entschuldigt sich das Unternehmen für die Sicherheitsverletzung, gibt aber gleichzeitig dem Webhosting-Anbieter Amazon Web Services eine Mitschuld an der Misere.

Die Geschichte geht nach Darstellung des Unternehmens nämlich so: Bei AWS kam es am Freitagvormittag zu einem Teilausfall, der die Überwachungskameras lahmlegte. Die Kundschaft sah jedenfalls nur schwarze Bilder der gewünschten Kameraaufnahmen. Beim Versuch, die Kameras wieder online zu bringen, passierte dann Denkwürdiges: Viele Kunden berichteten, dass sie Aufnahmen aus ihnen nicht bekannten Wohnzimmern sahen, wenn sie den Tab "Ereignisse" anwählten. Dort landen üblicherweise sicherheitsrelevante Videos, etwa wenn die Bewegung einer Person erfasst wurde. 13.000-mal sahen Wyze-Kunden so in fremde Wohnungen. Das Unternehmen sperrte daraufhin den Zugriff auf den Ereignisse-Tab und begann eigene Ermittlungen.

"99 Prozent der Kunden sind nicht betroffen"

Diese ergaben laut dem Unternehmen, dass erneut jemand anderer schuld an der Panne war: Eine kürzlich in die Wyze-Systeme integrierte "Caching-Bibliothek eines Drittanbieters" habe das Problem verursacht. "Bei dieser Client-Bibliothek kam es zu einer noch nie da gewesenen Auslastung, da die Geräte auf einmal wieder online gingen. Infolge der erhöhten Nachfrage brachte sie die Zuordnung von Geräte-ID und Benutzer-ID durcheinander und verband einige Daten mit falschen Konten", so die Darstellung von Wyze.

Zwar wurde der Fehler rasch bemerkt, dennoch konnten 13.000 Menschen einen unbefugten Blick in fremde Häuser werfen. 1.504 Personen hätten die Ansicht vergrößert, und "einige" von ihnen hätten Videos aufgenommen. Wie viele "einige" sind und ob auf den Aufnahmen Menschen zu sehen waren, teilte das Unternehmen nicht mit. Wyze gab darüber hinaus an, dass alle betroffenen Nutzerinnen und Nutzer von dem Sicherheitsvorfall unterrichtet wurden. Außerdem betonte die Firma, dass 99 Prozent der Kunden nicht betroffen waren.

Zweiter Fall innerhalb von wenigen Monaten

Dass nur ein Prozent der Kundschaft von dem Vorfall betroffen war, beruhigte die Community aber weniger. In seinem offiziellen Subreddit muss das Unternehmen gerade viel Kritik einstecken. Denn: Es war nicht das erste Mal, dass Bilder aus fremden Wohnungen angezeigt wurden. Im September berichteten einige Wyze-Nutzer, dass sie über den Online-Viewer Bilder von Kameras sehen konnten, die ihnen nicht gehörten. Wyze behauptete, dass 40 Minuten lang bis zu 2.300 Personen in der Lage gewesen sein könnten, die Feeds von zehn Fremden zu sehen.

Das Unternehmen machte dafür wieder einen Drittanbieter verantwortlich: Ein "Web-Caching-Problem" habe den Fehler verursacht. Zusätzlich habe man "zahlreiche technische Maßnahmen" ergriffen habe, um eine Wiederholung des Vorfalls auszuschließen. Darunter würden sich die Einschränkung von Kontoberechtigungen, die Aktualisierung von Unternehmensrichtlinien und Mitarbeiterschulungen sowie die Beauftragung eines externen Sicherheitsunternehmens für Penetrationstests befinden. Wie die Aktualisierungen von Unternehmensrichtlinien und Mitarbeiterschulungen Pannen verhindern sollen, die angeblich auf das Konto von Drittanbietern gehen, wurde damals wie heute nicht erläutert.

Wie "Ars Technica" berichtet, hat das Sicherheitsunternehmen Bitdefender schon im Jahr 2022 auf Sicherheitslücken hingewiesen, die es möglich machten, remote auf fremde Wyze-Kameras zuzugreifen. Konsumenten hatten das Unternehmen daraufhin geklagt. Der Streit wurde außergerichtlich beigelegt.

Der Spott im Netz ist jedenfalls groß, und Userinnen und User koordinieren sich, um schlechte Bewertungen für Wyze und dessen Umgang mit der aktuellen Krise in diversen App-Stores zu schreiben. Andere sehen es mit Humor: Wyze habe den eigenen Slogan, Technologie für alle zur Verfügung zu stellen, ein wenig zu wörtlich genommen, ätzte ein weiterer Kommentator. (pez, 20.2.2024)