- Wyze conhecia, há três anos, uma vulnerabilidade na WyzeCam que permitiria o acesso remoto aos vídeos, mas não informou.
- Em janeiro, a Wyze interrompeu as vendas do WyzeCam v1 sem explicar o motivo; a Bitdefender explicou que haveria risco de acesso ao cartão SD, extração da chave de criptografia e visualização/download dos vídeos.
- O acesso remoto exigiria, inicialmente, estar na rede local e possuir um token da câmera; conectados à rede doméstica, hackers poderiam explorar a falha.
- A Wyze afirmou ter sido transparente e disse ter corrigido o problema para as versões v2 e v3 em 29 de janeiro, mas não detalhou a vulnerabilidade.
- Especialistas dizem que divulgações responsáveis costumam ocorrer em dias, não em anos; a Bitdefender justifica o atraso citando riscos para milhões de usuários e a falta de um processo de segurança conhecido da Wyze.
Wyze reconheceu uma vulnerabilidade em suas câmeras de segurança residenciais que poderia permitir acesso remoto aos feeds de vídeo. A falha ficou conhecida publicamente após a Bitdefender divulgar descobertas em 2022, mas já existia há cerca de três anos. A empresa encerrou a venda da WyzeCam v1 sem explicar detalhadamente o motivo.
A vulnerabilidade permitia que alguém acessasse o cartão SD da câmera, capturasse a chave de criptografia e assistisse ou baixasse vídeos, segundo a Bitdefender. A conclusão envolve possibilidade de acesso remoto a partir de redes externas, com requisitos específicos de acesso inicial.
Conforme a Bitdefender, o primeiro contato com a Wyze ocorreu em março de 2019 e não houve resposta até novembro de 2020. Em comunicado posterior, a empresa disse ter adotado medidas para corrigir a falha, mas apenas para modelos mais recentes, como WyzeCam v2 e v3, com pacotes de correção concluídos em janeiro de 2023, conforme registros da imprensa especializada.
A Wyze também afirma ter mantido transparência com clientes e ter implementado um relatório de segurança em anos recentes. No entanto, o site da empresa não detalha a vulnerabilidade nem o que poderia ter ficado em risco, segundo reportagens de veículos de imprensa.
A divulgação do problema pela Bitdefender gerou debate sobre prazos de divulgação responsável. Especialistas destacam que, em geral, políticas do setor costumam prever divulgação em dias ou semanas, não anos, para evitar exposição de usuários.
O caso levou a discussão sobre a responsabilidade das empresas de dispositivos conectados em informar falhas de segurança. Em entrevista, especialistas ressaltam que medidas de mitigação simples podem reduzir riscos significativamente, como descontinuar ou substituir rapidamente dispositivos afetados.
A Wyze publicou uma resposta formal na íntegra nesta quinta-feira, reiterando que as vulnerabilidades exigiam acesso local à rede para exploração e explicando que o WyzeCam v1 não tinha memória suficiente para correções completas. A empresa afirma ter comunicado detalhes apenas quando seguro fazê-lo para limitar riscos.
Segundo a fabricante, a mensagem aos clientes priorizou reduzir o risco até que as atualizações estivessem disponíveis, sem expor informações sensíveis. A Wyze também informou ter criado processos de segurança adicionais em 2022 para mitigar problemas futuros.
Atualizações posteriores indicam que não houve divulgação imediata de falhas específicas no momento da descontinuação da WyzeCam v1, em janeiro de 2022. A empresa afirma que a decisão foi tomada com base em considerações de segurança, sem detalhar todo o contexto público.
Entre os afetados, estavam usuários que dependiam das câmeras para monitoramento doméstico. A discussão continua sobre o equilíbrio entre transparência e mitigação de riscos em falhas de segurança de dispositivos conectados.
Entre na conversa da comunidade