La perdita del server Wyze espone i dati dei clienti di 2,4 milioni di utenti


Un server non protetto ha rivelato i dati dei clienti Wyze per un periodo di tre settimane, ha ammesso il produttore di telecamere di sicurezza intelligenti. La perdita è stata scoperta per la prima volta dalla società di sicurezza informatica Twelve Security, che pubblicato i suoi risultati il ​​26 dicembre, mentre IPVM, era un blog incentrato sui prodotti di videosorveglianza in grado di verificare che i propri dati fossero stati interessati dalla perdita. Secondo Twelve Security, i dati di circa 2,4 milioni di clienti Wyze sono stati compromessi.

In un post sul forum che annuncia la perdita per i suoi utenti, il co-fondatore di Wyze Dongsheng Song ha scritto che il server esposto non era un server di produzione, ma era invece un "database flessibile" creato per consentire una più rapida interrogazione dei dati dei clienti. Il co-fondatore ha affermato che un errore dei dipendenti ha portato alla rimozione dei protocolli di sicurezza del server il 4 dicembre e che i dati sono stati esposti fino al 26 dicembre quando la società è stata informata del problema.

Nel suo post sul blog sulla perdita, Twelve Security ha affermato che il server includeva informazioni come nomi utente, indirizzi e-mail, nickname della fotocamera, modelli di dispositivo, informazioni sul firmware, dettagli SSID Wi-Fi, token API per iOS e Android e token Alexa di utenti che aveva collegato l'assistente vocale di Amazon con le loro telecamere di sicurezza. (Wyze afferma che il database non includeva le password degli utenti.) La società di sicurezza informatica ha anche affermato che il database includeva una vasta gamma di informazioni sulla salute, tra cui altezza, peso, densità ossea e apporto giornaliero di proteine. Song ha confermato che alcune informazioni sulla salute erano presenti grazie a un beta test di un nuovo prodotto su scala intelligente, ma ha contestato che avesse mai raccolto informazioni sulla densità ossea e sull'assunzione giornaliera di proteine.

Dodici servizi di sicurezza hanno persino affermato che vi erano "chiare indicazioni" che i dati sarebbero stati inviati al cloud Alibaba in Cina. Il post sul forum di Song contesta questo. Ha affermato che Wyze non utilizza Alibaba Cloud e che sebbene abbia dipendenti e partner di produzione in Cina, non condivide i dati degli utenti con agenzie governative.

In risposta alla perdita di sicurezza, Song afferma che Wyze ha iniziato a condurre un controllo di tutti i suoi server e database e ha scoperto un altro database non protetto. Ha anche affermato che la società sta rivisitando "tutti gli aspetti" delle sue linee guida sulla sicurezza. Nel frattempo, il co-fondatore ha affermato che gli utenti di Wyze dovrebbero stare attenti agli attacchi di phishing e che la società ha disconnesso tutti i suoi utenti dai loro account e ha scollegato le loro integrazioni di terze parti per cercare di chiudere la scappatoia di sicurezza causata dall'API compromessa e token Alexa.

La perdita di dati arriva alla fine di un anno difficile per Wyze. La società ha annunciato una nuova funzionalità di rilevamento delle persone basata sull'intelligenza artificiale a luglio per le sue telecamere di sicurezza a prezzi accessibili, solo per far decadere la startup AI con cui ha collaborato alla funzione a novembre, mettendo in dubbio il futuro della funzione. Il lancio del suo servizio di abbonamento doveva anche essere ritardato lo stesso mese a causa di "problemi critici" non specificati.

Song ha voluto sottolineare che i prezzi di bilancio dell'azienda non significano che la sicurezza sia presa meno sul serio. "Abbiamo spesso sentito persone dire:" Paghi per quello che ottieni ", supponendo che i prodotti Wyze siano meno sicuri perché sono meno costosi. Questo non è vero ", ha scritto il cofondatore. "Abbiamo sempre preso molto sul serio la sicurezza e siamo devastati dal deludere i nostri utenti in questo modo".

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *