“Để giúp quản lý sự tăng trưởng cực kỳ nhanh chóng của Wyze, gần đây chúng tôi đã khởi xướng một dự án nội bộ mới nhằm tìm ra những cách tốt hơn để đo lường các chỉ số kinh doanh cơ bản như kích hoạt thiết bị, tỷ lệ kết nối không thành công, v.v.” Wyze cho biết trong một bài đăng trên blog vào cuối tuần. “Chúng tôi đã sao chép một số dữ liệu từ các máy chủ sản xuất chính của mình và đưa nó vào một cơ sở dữ liệu linh hoạt hơn, dễ truy vấn hơn. Bảng dữ liệu mới này đã được bảo vệ khi nó được tạo ban đầu. Tuy nhiên, một nhân viên Wyze đã mắc lỗi vào ngày 4 tháng XNUMX khi họ đang sử dụng cơ sở dữ liệu này và các giao thức bảo mật trước đây cho dữ liệu này đã bị xóa. Chúng tôi vẫn đang xem xét sự kiện này để tìm hiểu tại sao và làm thế nào điều này xảy ra ”.

Cũng được tiết lộ trong cơ sở dữ liệu là mã thông báo Alexa cho 24,000 người dùng, cho phép người dùng tích hợp thiết bị Alexa của họ với máy ảnh Wyze của họ. Wyze nói rằng không có bằng chứng cho thấy mã thông báo API cho iOS và Android đã bị lộ, nhưng công ty đã quyết định làm mới chúng như "một biện pháp phòng ngừa."

Wyze cho biết: “Tối hôm qua, chúng tôi đã buộc tất cả người dùng Wyze đăng nhập lại vào tài khoản Wyze của họ để tạo ra các mã thông báo mới. “Chúng tôi cũng hủy liên kết tất cả các tích hợp của bên thứ 3 khiến người dùng liên kết lại các tích hợp với Alexa, Trợ lý Google và IFTTT để lấy lại chức năng của các dịch vụ này. Như một bước bổ sung, chúng tôi đang thực hiện hành động để cải thiện tính bảo mật của máy ảnh, điều này sẽ khiến máy ảnh của bạn khởi động lại trong những ngày tới. ”

Theo Wyze, cơ sở dữ liệu không chứa mật khẩu người dùng hoặc thông tin cá nhân hoặc tài chính do chính phủ quản lý.

Tuy nhiên, các chuyên gia bảo mật như Troy Hunt, người sáng lập HaveIBeenPwned.com, nói rằng vụ rò rỉ dữ liệu là “nghiêm trọng”.

Wyze cho biết lần đầu tiên họ được liên hệ về vụ rò rỉ dữ liệu thông qua một phiếu hỗ trợ vào ngày 26 tháng XNUMX bởi một phóng viên tại IPVM.com, một trang web tin tức “cung cấp các bài đánh giá, thử nghiệm và phần mềm để lựa chọn và sử dụng các sản phẩm giám sát video”.

IPVM đăng một bài viết chi tiết dữ liệu bị lộ "gần như ngay lập tức sau khi" thông báo cho Wyze về vụ rò rỉ. Bài viết dựa trên một bài đăng của công ty tư vấn có trụ sở tại Texas Mười hai bảo mật, cũng được xuất bản vào ngày 26 tháng XNUMX, trong đó nêu chi tiết về vụ rò rỉ.

Wyze nhấn mạnh rằng một số tuyên bố được nêu trong các bài báo này là không đúng sự thật, bao gồm báo cáo rằng Wyze gửi dữ liệu đến Alibaba Cloud, thu thập thông tin về mật độ xương và lượng protein hàng ngày và rằng công ty đã có một vi phạm tương tự cách đây sáu tháng.

Về phía trước, Wyze cho biết vào Chủ nhật rằng họ sẽ gửi thông báo qua email cho tất cả các khách hàng bị ảnh hưởng và “sẽ cung cấp thêm thông tin cập nhật khi chúng tôi tiếp tục điều tra.”

Wyze nói: “Một lần nữa, chúng tôi vô cùng lấy làm tiếc về tình huống này. “Cảm ơn sự kiên nhẫn của bạn khi chúng tôi làm việc trong suốt quá trình này. Chúng tôi đã đọc hết nhận xét của mọi người và đang tiếp tục làm việc cùng nhau về các phương pháp để cải thiện bảo mật của chúng tôi và đảm bảo rằng những sự cố tương tự sẽ không bao giờ xảy ra nữa

Source: https://cybernewsportal.wordpress.com/2019/12/31/iot-company-wyze-leaks-emails-device-data-of-2-4m/