De Internet of Things-leverancier bevestigde dat klantgegevens onbeveiligd waren achtergelaten in een Elasticsearch-database.
Een blootgestelde Elasticsearch-database, eigendom van het Internet of Things (IoT) -bedrijf Wyze, werd ontdekt en lekte verbonden apparaatinformatie en e-mails van miljoenen klanten.
Wyze maakt slimme thuiscamera's en aangesloten apparaten zoals aangesloten lampen en stekkers, die kunnen worden geïntegreerd met slimme thuisassistenten zoals Amazon Alexa en Google Assistant. De database, die op 4 december werd getoond tot aan de beveiliging op 26 december, bevatte e-mails van klanten samen met camerabijnamen, WiFi SSID's (Service Set Identifiers; of de namen van Wi-Fi-netwerken), Wyze-apparaatinformatie en body metrics "voor een klein aantal bètatesters van producten" die nieuwe hardware aan het testen waren, aldus Wyze.
Tot 2.4 miljoen Wyze-gebruikers waren naar verluidt blootgesteld. Wyze bevestigde dat aantal niet anders dan te zeggen dat "sommige Wyze-gebruikersgegevens" waren beïnvloed; Threatpost heeft contact gezocht voor verder commentaar.
"Om de extreem snelle groei van Wyze te helpen beheren, hebben we onlangs een nieuw intern project gestart om betere manieren te vinden om elementaire bedrijfsstatistieken te meten, zoals apparaatactiveringen, mislukte verbindingssnelheden, enz.", Zei Wyze in een blogpost tijdens het weekend. “We hebben enkele gegevens van onze belangrijkste productieservers gekopieerd en in een flexibelere database geplaatst die gemakkelijker te raadplegen is. Deze nieuwe gegevenstabel was beveiligd toen deze oorspronkelijk werd gemaakt. Er werd echter een fout gemaakt door een Wyze-medewerker op 4 december toen ze deze database gebruikten en de eerdere beveiligingsprotocollen voor deze gegevens werden verwijderd. We onderzoeken deze gebeurtenis nog steeds om erachter te komen waarom en hoe dit is gebeurd. "
In de database werden ook Alexa-tokens voor 24,000 gebruikers getoond, waarmee gebruikers hun Alexa-apparaten kunnen integreren met hun Wyze-camera's. Wyze zei dat er geen bewijs is dat API-tokens voor iOS en Android werden blootgesteld, maar het bedrijf besloot ze te vernieuwen als "voorzorgsmaatregel".
"Gisteravond hebben we alle Wyze-gebruikers gedwongen opnieuw in te loggen op hun Wyze-account om nieuwe tokens te genereren", aldus Wyze. “We hebben ook alle integraties van derden ontkoppeld, waardoor gebruikers de integratie met Alexa, The Google Assistant en IFTTT opnieuw moesten koppelen om de functionaliteit van deze services terug te krijgen. Als extra stap ondernemen we actie om de camerabeveiliging te verbeteren, waardoor je camera de komende dagen opnieuw wordt opgestart. "
De database bevatte volgens Wyze geen gebruikerswachtwoorden of door de overheid gereguleerde persoonlijke of financiële informatie.
Beveiligingsexperts zoals Troy Hunt, oprichter van HaveIBeenPwned.com, zeggen echter dat het datalek "ernstig" is.
Wyze zei dat ze op 26 december voor het eerst werden benaderd over het datalek via een supportticket door een verslaggever van IPVM.com, een nieuwswebsite die "recensies, tests en software biedt voor het selecteren en gebruiken van videobewakingsproducten."
IPVM heeft een artikel geplaatst detaillering van de blootgestelde gegevens "bijna onmiddellijk na" Wyze op de hoogte van het lek. Het artikel was gebaseerd op een bericht van een in Texas gevestigd adviesbureau Twaalf beveiliging, ook gepubliceerd op 26 december, waarin het lek werd beschreven.
Wyze benadrukte dat verschillende uitspraken in deze artikelen niet waar zijn, waaronder berichten dat Wyze gegevens naar Alibaba Cloud stuurt, informatie verzamelt over botdichtheid en dagelijkse eiwitinname, en dat het bedrijf zes maanden geleden een soortgelijke inbreuk had.
Vooruitkijkend zei Wyze zondag dat het e-mailmeldingen naar alle betrokken klanten stuurt en "verdere updates zal verstrekken terwijl we doorgaan met ons onderzoek."
"Nogmaals, het spijt ons zeer voor deze situatie", zei Wyze. “Bedankt voor uw geduld terwijl we dit proces doorlopen. We hebben de opmerkingen van iedereen gelezen en blijven samenwerken aan methoden om onze veiligheid te verbeteren en ervoor te zorgen dat soortgelijke gebeurtenissen nooit meer voorkomen
