El proveedor de IoT Wyze confirma la fuga del servidor

Wyze, una compañía que vende dispositivos inteligentes como cámaras de seguridad, enchufes inteligentes, bombillas inteligentes y cerraduras de puertas inteligentes, confirmó hoy una fuga de servidor que expuso los detalles de aproximadamente 2.4 millones de clientes.

La fuga ocurrió después de que una foundation de datos interna fue expuesta accidentalmente en línea, Dongsheng Track, cofundador de Wyze. dijo en una publicación del foro publicado en navidad.

Song dijo que la foundation de datos expuesta, un sistema Elasticsearch, no era un sistema de producción sin embargo, el servidor estaba almacenando datos de usuario válidos. El servidor Elasticsearch, una tecnología para generar consultas de búsqueda súper rápidas, se creó para ayudar a la empresa a clasificar la gran cantidad de datos de los usuarios. El ejecutivo de Wyze explica:

«Para ayudar a administrar el crecimiento extremadamente rápido de Wyze, recientemente iniciamos un nuevo proyecto interno para encontrar mejores formas de medir las métricas comerciales básicas, como las activaciones de dispositivos, las tasas de conexión fallidas, and many others.

Copiamos algunos datos de nuestros servidores de producción principales y los colocamos en una foundation de datos más adaptable que es más fácil de consultar. Esta nueva tabla de datos estaba protegida cuando se creó originalmente. Sin embargo, un empleado de Wyze cometió un error el 4 de diciembre cuando usaban esta foundation de datos y se eliminaron los protocolos de seguridad anteriores para estos datos. Todavía estamos investigando este evento para descubrir por qué y cómo sucedió esto.«

El servidor con fugas fue descubierto y documentado por la consultora de seguridad cibernética Doce seguridad y verificado independientemente por reporteros de IPVM, un blog site dedicado a productos de movie vigilancia.

Music mostró su descontento con la forma en que las dos partes, Twelve Security e IPVM, manejaron la divulgación de la fuga de datos, dando a Wyze solo 14 minutos para solucionar la fuga antes de hacer públicos sus hallazgos.

«Fuimos contactados por primera vez a través de un ticket de soporte a las 9:21 am del 26 de diciembre por un periodista de IPVM.com. El artículo fue publicado casi inmediatamente después (Publicado en Twitter a las 9:35 am). Fue publicado junto con un publicación de site de una empresa de seguridad privada también publicada el 26 de diciembre. Un miembro de la comunidad que había leído el artículo nos informó de este artículo a las 10: 00 am «.

Track confirmó que el servidor con fugas expuso detalles como las direcciones de correo electrónico que los clientes usaban para crear cuentas de Wyze, apodos a los usuarios asignados a sus cámaras de seguridad Wyze, identificadores SSID de la pink WiFi y, para 24,000 usuarios, tokens Alexa para conectar dispositivos Wyze a dispositivos Alexa.

El ejecutivo de Wyze negó que los tokens de API de Wyze estuvieran expuestos a través del servidor. En su publicación de site, Twelve Protection afirmó que encontraron tokens API que, según ellos, habrían permitido que los hackers accedan a las cuentas de Wyze desde cualquier dispositivo iOS o Android.

En segundo lugar, Track también negó las afirmaciones de Twelve Security de que estaban enviando datos de usuario a un servidor Alibaba Cloud en China.

Tercero, Music también aclaró que Twelve Stability afirma que Wyze estaba recopilando información de salud. El ejecutivo de Wyze dijo que solo recopilaron datos de salud de 140 usuarios que estaban probando beta un nuevo producto de báscula inteligente.

Track no negó que Wyze recopilara información sobre altura, peso y género. Él, sin embargo, negó a otros.

«Nunca hemos recolectado la densidad ósea y la ingesta diaria de proteínas», dijo el ejecutivo de Wyze. «Desearíamos que nuestra báscula fuera tan genial».

Por ahora, las tres partes involucradas en la divulgación de esta filtración parecen estar en desacuerdo con respecto a los detalles de esta filtración en individual. De cualquier manera, Wyze dijo que decidió cerrar la sesión a la fuerza de todos los usuarios de Wyze de sus cuentas y no le agradaron todas las integraciones de aplicaciones de terceros, dos pasos que generarán nuevos tokens de API de Wyze y tokens de Alexa una vez que los usuarios vuelvan a iniciar sesión y vuelvan a vincular Dispositivos Alexa para cuentas Wyze.