| 30 декабря 2019 г. — 3:57 PT
Утечка данных безопасности камеры Wyze привела к утечке большого объема личных данных более чем 2,4 миллиона пользователей…
TwelveSecurity, обнаружившая утечку, заявляет, что никогда прежде не сталкивалась с такой серьезной утечкой.
Лично я за десять лет работы системным администратором и облачным инженером никогда не сталкивался с утечкой такого масштаба…
Производственные базы данных компании были полностью открыты для интернета. В результате была раскрыта значительная часть конфиденциальной информации, сгенерированной 2,4 миллионами пользователей, причем все они, по совпадению, находятся за пределами Китая.
Итак, что же было включено в информацию? Следующее:
- Имя пользователя и электронная почта тех, кто приобрел камеры, а затем подключил их к своему дому
- 24% из 2,4 миллиона пользователей находятся в часовом поясе EST (остальные распределены по оставшимся зонам США, Великобритании, ОАЭ, Египта и частей Малайзии)
- Электронная почта любого пользователя, с которым когда-либо делились доступом к камере, например, члена семьи
- Список всех камер в доме, прозвища для каждой камеры, модель устройства и прошивка
- SSID Wi-Fi, внутренняя подсеть, время последнего включения камер, время последнего входа из приложения, время последнего выхода из приложения
- API-токены для доступа к учетной записи пользователя с любого устройства iOS или Android
- Токены Alexa для 24 000 пользователей, которые подключили устройства Alexa к своим камерам Wyze
- Рост, вес, пол, плотность костей, масса костей, суточное потребление белка и другая информация о здоровье для части пользователей
Wyze подтвердила утечку.
Сегодня мы подтверждаем, что некоторые данные пользователей Wyze не были должным образом защищены и оставались открытыми с 4 по 26 декабря…
Мы скопировали часть данных из наших основных производственных серверов и поместили их в более гибкую базу данных, которую легче запрашивать. Эта новая таблица данных была защищена при первоначальном создании. Однако 4 декабря сотрудник Wyze допустил ошибку при работе с этой базой данных, и предыдущие протоколы безопасности для этих данных были удалены. Мы все еще изучаем это событие, чтобы выяснить, почему и как это произошло.
Уязвимость возникла 4 декабря и не затронула наши производственные таблицы данных. Хотя эта база данных и была значительной, она содержала лишь часть данных. Она не содержала пароли пользователей или регулируемую государством личную или финансовую информацию. Она содержала электронные письма клиентов, прозвища камер, SSID Wi-Fi, информацию об устройствах Wyze, метрики тела небольшой группы бета-тестеров продуктов и ограниченные токены, связанные с интеграцией Alexa.
Однако компания заявила, что впоследствии обнаружила, что «дополнительная база данных» осталась незащищенной.
Компания заявляет, что пароли или финансовые данные не были включены в утечку данных камеры Wyze, и что она уведомит пострадавших пользователей по электронной почте.
Как и в случае любой утечки, мы рекомендуем всем пользователям Wyze сменить свои пароли в качестве меры предосторожности, а также быть особенно внимательными к попыткам фишинга. Учитывая объем раскрытых личных данных, хакеру было бы легко подделать электронное письмо от Wyze, которое выглядело бы подлинным.
Изображение: Shutterstock