Wzye: Sicherheits-App lässt Kunden in fremde Zuhause spähen – und gibt Amazon die Schuld
Moderne Sicherheitskameras erlauben es, das eigene Zuhause auch von unterwegs im Blick zu haben. Beim Hersteller Wyze konnten nun auch andere einen Blick erhaschen. Betroffene sind schockiert.
Geht es dem Haustier gut, sind die Kinder nach der Schule gut angekommen oder ein Blick, ob während des Urlaubs alles in Ordnung ist: Es gibt viele Gründe, sein Zuhause mit einer Sicherheitskamera auszustatten. Fremden einen Blick in die eigenen vier Wände zu erlauben, dürften sich aber trotzdem die wenigsten einer solchen Kamera wünschen. Wyze hat ihn nun trotzdem gewährt: Über 13.000 Nutzer der App hatten plötzlich Zugang zu anderen Kameras des Herstellers.
Das gestand Wyze gerade in E-Mails an seine Kunden. Zu dem Fehler sei es nach einem Ausfall des Dienstes am Freitag gekommen, so das Unternehmen. Nach einem erneuten Hochfahren des Systems hätten einige Kunden in Ihrer App plötzlich auch Feeds von Kameras angezeigt bekommen, die eigentlich den Accounts anderer Nutzer zugeordnet waren. Doch es blieb nicht bei der reinen Möglichkeit zu schnüffeln: Über 1500 Nutzer hätten die Zugänge zu den Kameras der anderen tatsächlich auch genutzt, warnt Wyze.
DHL SMS Azocke Smishing BSI 8.14 Uhr
Wyze: Betroffene berichtet
"Ich wurde von jemandem beobachtet", berichtet eine der Betroffenen bei Reddit. "Ich bin geschockt. Ich bin eine 23-Jährige Frau und ich machte mich während des Ausfalls gerade für die Arbeit fertig." Die Kameras seien in der Wohnung verteilt, um nach den Haustieren sehen zu können, berichtet sie. "Ich bin so angeekelt und aufgebracht." Den Account habe sie bereits gelöscht.
Dass sie genau weiß, dass sie beobachtet wurde, liegt an der überraschend transparenten Aufarbeitung des Falls: Weil in den internen Daten genau zu ermitteln war, wessen Feed wem angezeigt wurde, verschickte das Unternehmen nicht eine, sondern gleich vier verschiedene Mails, um seine Kunden zu informieren. Zuerst diejenigen die Mails, bei denen tatsächlich andere den Zugang zur Kamera genutzt hatten. Dann die, deren Feed anderen zwar angeboten, aber nicht angeklickt worden war. Es folgte eine Welle von Mails für die Kunden, die Zugang zu anderen Feeds hätten haben können, aber selbst nicht betroffen waren. Und zu guter Letzt an die, die gar nichts mit dem Problem zu tun hatten.
Hersteller sieht Schuld bei anderen
Die Schuld schiebt der Hersteller in der Mail allerdings anderen zu: Der Ausfall sei durch ein Problem bei Amazons Clouddienst AWS entstanden, heißt es in den Mails. Als man das System wieder hochfahren wollte, habe dann eine vor kurzem eingeführte Datenbank eines Drittanbieters unter der Last nachgegeben – und teilweise die Nutzer-IDs den falschen Accounts zugeordnet. Sobald man den Fehler entdeckt habe, seien aber sämtliche Zugänge sofort abgeschaltet worden, versichert Wyze. Eine neu implementierte Sicherheits-Abfrage soll ähnliche Probleme in Zukunft verhindern.
Bei den Kunden kommt das gleich aus mehreren Gründen nicht besonders gut an. Zum einen findet sich in der Mail zwar ein Eingeständnis, dass man nicht den eigenen Ansprüchen genügt hätte, Verantwortung übernimmt das Unternehmen aber nicht. Zum anderen scheint das Unternehmen keine Entschädigungen zu planen – im Gegenteil: Nicht mal eine Entschuldigung für den Verlust der Privatsphäre gibt es. Auch die Zusicherung, dass so etwas nicht wieder passieren solle, sorgt für Unmut. Der einfache Grund: Es ist nicht das erste Mal. Im Sommer 2022 war es Hackern gelungen, die Sicherheitsmaßnahmen zu umgehen und Zugriff auf die auf den Kameras gespeicherten Aufnahmen zu erlangen. Bereits im Herbst gab es dann erste Meldungen, dass Nutzer versehentlich die Feeds anderer Kameras angezeigt bekamen. Damals machte die Firma ein Problem in der Web-Ansicht verantwortlich.
Entsprechend negativ war das Feedback der Kunden, als sich Wyze-Mitgründer Dave Crosby bei Reddit um Schadensbegrenzung bemühte. "Es gefällt mir überhaupt nicht, wenn eine Firma die Schuld auf Drittanbieter abzuwälzen versucht", schimpfte etwa ein Nutzer unter großer Zustimmung der anderen. "Egal ob der Fehler bei AWS oder einem Drittanbieter entsteht: Aus der Sicht der Kunden seid IHR verantwortlich." Das sehen auch andere so. "Ihr solltet das Problem als eures annehmen und an einer eigenen Lösung arbeiten. So erarbeitet man sich das Vertrauen zurück. Denn die meisten von uns habt ihr entweder schon als Kunde verloren, oder sie denken zumindest darüber nach."