Η εταιρεία smart home τεχνολογίας, Wyze Labs, παραδέχτηκε ότι τα δεδομένα 2.4 εκατομμυρίων χρηστών της βρίσκονταν εκτεθειμένα στο διαδίκτυο από τις 4 έως τις 26 Δεκεμβρίου. Τα δεδομένα βρίσκονταν σε μια μη ασφαλή βάση δεδομένων.
Η εταιρεία που ανακάλυψε τα εκτεθειμένα δεδομένα ήταν η Twelve Security. Κυκλοφόρησε ένα δημοσίευμα σχετικά με το περιστατικό ασφαλείας κι έτσι ενημερώθηκε και η Wyze.
Ωστόσο, σύμφωνα με τον Dongsheng Song, συνιδρυτή της Wyze, ορισμένες από τις αναφερόμενες πληροφορίες δεν ήταν ακριβείς.
“Δεν στέλνουμε δεδομένα στην εταιρεία Alibaba Cloud και δεν συλλέγουμε πολύ προσωπικές πληροφορίες, ακόμη και από τα προϊόντα που βρίσκονται σε δοκιμές beta”, ανέφερε σε απάντηση της αποκάλυψης της Twelve Security.
Μη ασφαλής βάση δεδομένων
Τα δεδομένα που περιλαμβάνονταν στη μη ασφαλή βάση δεδομένων, περιείχαν διάφορες πληροφορίες των χρηστών της Wyze. Ουσιαστικά τα δεδομένα ήταν ένα αντίγραφο της βάσης δεδομένων που σχετιζόταν με την παραγωγή. Είχε δημιουργηθεί από τη Wyze για τον “υπολογισμό βασικών στοιχείων, όπως ενεργοποιήσεις συσκευών, αποτυχημένες συνδέσεις” κλπ.
Αρχικά, η βάση δεδομένων είχε διαμορφωθεί σωστά και προστάτευε τους πελάτες της Wyze. Ωστόσο, ένας υπάλληλος κατάργησε κατά λάθος τα πρωτόκολλα ασφαλείας στις 4 Δεκεμβρίου.
“Κλειδώσαμε την εν λόγω βάση δεδομένων προτού επιβεβαιώσουμε ότι ήταν εκτεθειμένη”, πρόσθεσε ο Song. “Το κάναμε αυτό προληπτικά, επειδή το δημοσιευμένο άρθρο της Twelve Security αναφερόταν σε μια βάση δεδομένων που συνδέεται με το “Elasticsearch“: ένα εργαλείο αναζήτησης που χρησιμοποιούμε”.
Το ζήτημα ασφαλείας επιβεβαιώθηκε και από τον ερευνητή Bob Diachenko της Security Discovery. Σύμφωνα με τον Diachenko, η βάση δεδομένων περιείχε 1.807.201.457 αρχεία.
Εκτεθειμένες πληροφορίες των χρηστών της Wyze
Ο Song επιβεβαίωσε ορισμένες από τις πληροφορίες της Twelve Security σχετικά με τα εκτεθειμένα δεδομένα των χρηστών.
Η βάση δεδομένων περιείχε τα εξής στοιχεία: email των χρηστών, ψευδώνυμα καμερών, WiFi SSIDs, πληροφορίες Wyze συσκευών, περίπου 24.000 tokens, καθώς και πληροφορίες, όπως το ύψος, το βάρος, το φύλο και άλλα στοιχεία για την υγεία. Τα στοιχεία για την υγεία ανήκαν σε ένα μικρό αριθμό beta testers.
Ωστόσο, ο Song είπε ότι η βάση δεδομένων “δεν περιείχε κωδικούς πρόσβασης χρηστών ή προσωπικές και οικονομικές πληροφορίες”. Αντίθετα, η Twelve Security ανέφερε στην έκθεσή της ότι περιλαμβάνονται και τέτοια στοιχεία.
Επίσης, σύμφωνα με τον συνιδρυτή της Wyze, “δεν υπάρχουν αποδείξεις ότι τα API tokens για iOS και Android ήταν εκτεθειμένα, αλλά αποφασίσαμε να τα ανανεώσουμε προληπτικά, όταν ξεκινήσαμε την έρευνά μας”.
Η Wyze συμβουλεύει όλους τους πελάτες της να είναι προσεκτικοί, καθώς κάποιος κακόβουλος hacker μπορεί να έχει στην κατοχή του τα emails και να πραγματοποιήσει phishing επιθέσεις.
