O vazamento do servidor Wyze expõe dados de clientes de 2,4 milhões de usuários


  

Um servidor não seguro expôs os dados dos clientes Wyze por um período de três semanas, admitiu o fabricante da câmera de segurança inteligente. O vazamento foi descoberto pela empresa de segurança cibernética Twelve Security, que publicou suas descobertas em 26 de dezembro enquanto IPVM um blog focado em produtos de vigilância por vídeo, foi capaz de verificar que seus próprios dados foram afetados pelo vazamento. De acordo com a Twelve Security, os dados de cerca de 2,4 milhões de clientes Wyze foram comprometidos.

Em uma postagem no fórum anunciando o vazamento para seus usuários, o co-fundador da Wyze Dongsheng Song escreveu que o servidor exposto não era um servidor de produção, mas sim um "banco de dados flexível" criado para permitir para que os dados do cliente sejam consultados mais rapidamente. O co-fundador disse que um erro de funcionário levou à remoção dos protocolos de segurança do servidor em 4 de dezembro e os dados foram expostos até 26 de dezembro, quando a empresa tomou conhecimento do problema.

Em seu post no blog, a Twelve Security disse que o servidor incluía informações como nomes de usuário, endereços de email, apelidos de câmeras, modelos de dispositivos, informações de firmware, detalhes de SSID Wi-Fi, tokens de API para iOS e Android e tokens Alexa de usuários que conectaram o assistente de voz da Amazon com suas câmeras de segurança. (Wyze diz que o banco de dados não incluiu senhas de usuários.) A empresa de segurança cibernética também alegou que o banco de dados incluía uma enorme variedade de informações de saúde, incluindo altura, peso, densidade óssea e ingestão diária de proteínas. Song confirmou que algumas informações de saúde estavam presentes graças a um teste beta de um novo produto de escala inteligente, mas contestou que já havia coletado informações sobre densidade óssea e ingestão diária de proteínas.

A Twelve Security chegou a afirmar que havia "indicações claras" de que os dados estavam sendo enviados para o Alibaba Cloud na China. A postagem no fórum da música contesta isso. Ele disse que a Wyze não usa o Alibaba Cloud e que, embora tenha funcionários e parceiros de fabricação na China, não compartilha dados do usuário com nenhuma agência governamental.

Em resposta ao lapso de segurança, Song diz que Wyze começou a realizar uma auditoria de todos os seus servidores e bancos de dados e descobriu outro banco de dados desprotegido. Ele também disse que a empresa está revisando "todos os aspectos" de suas diretrizes de segurança. Enquanto isso, o cofundador disse que os usuários da Wyze deveriam tomar cuidado com ataques de phishing e que a empresa desconectou todos os usuários de suas contas e desvinculou suas integrações de terceiros para tentar fechar a brecha na segurança causada pela API comprometida. e tokens Alexa.

O vazamento de dados chega ao final de um ano difícil para Wyze. A empresa anunciou um novo recurso de detecção de pessoas com inteligência artificial em julho para suas câmeras de segurança acessíveis, apenas para que a startup de IA com a qual se associou no recurso desista em novembro lançando dúvida sobre o futuro do recurso. O lançamento de seu serviço de assinatura também precisou ser adiado no mesmo mês devido a “problemas críticos” não especificados.

Song enfatizou que os preços do orçamento da empresa não significam que isso leve a segurança menos a sério. "Muitas vezes ouvimos as pessoas dizerem: 'Você paga pelo que recebe', assumindo que os produtos Wyze são menos seguros porque são mais baratos. Isso não é verdade ”, escreveu o co-fundador. "Sempre levamos a segurança muito a sério e estamos arrasados ​​por decepcionar nossos usuários dessa maneira".



Source link



Os comentários estão desativados.