Выбрать страницу

В течение трех недель база данных, содержавшая информацию о клиентах производителя устройств интернета вещей Wyze, оставалась общедоступной. Речь снова идет о неправильно настроенной базе данных Elasticsearch, сообщают CNews.

Три недели общего доступа

Известный во всем мире поставщик решений интернета вещей Wyze Labs признал, что данные значительного количества клиентов компании в течение трех недель лежали в открытом доступе. На одном из серверов компании была некорректно настроена база данных Elasticsearch, и это могло привести к компрометации данных 2,4 млн клиентов.

Wyze производит смарт-устройства для дома и беспроводные камеры, так что большая часть потенциальных жертв — частные пользователи.

По данным компании Twelve Security, база оказалась в открытом доступе с 4 декабря и до 26 декабря 2019 года. Незащищенными стали имена и почтовые адреса покупателей беспроводных камер Wyze, а также членов их семей, которым был предоставлен доступ к панели управления камерами, список всех камер, установленных в каждом конкретном доме, с информацией об их обозначении, модели и версии прошивки, SSID-идентификаторы сетей Wi-Fi, подробности относительно включения камер и входа в управляющие приложения, API-токены для 24 тыс. пользователей, подключивших свои устройства Alexa к камерам Wyze.

В базе данных даже содержались приватные медицинские сведения о некоторой части пользователей. В Twelve Security утверждают, что в базе оказались такие подробности, как показатель плотности костей и ежедневные объемы потребления белков.

Эксперты Twelve Security также указывают, что им удалось найти API-токены, которые позволят хакерам получать доступ к пользовательским аккаунтам Wyze с любого устройства под управлением iOS или Android.

Данные об утечке независимо подтвердили авторы блога IPVM, специализирующегося на инструментах для слежения.

Без шансов

Сооснователь Wyze Дуншен Сун (Dongsheng Song), со своей стороны, признал утечку, но отметил, что Twelve Security и IPVM раскрыли информацию об утечке, не дав Wyze времени исправить проблему. Вечером 26 декабря 2019 года  Wyze получила информацию от одного из авторов IPVM.com, а спустя 15 минут сообщение об этом инциденте уже было опубликовано в Twitter.

По словам Суна, далеко не все в публикации IPVM соответствует действительности: например, информация от Wyze не поступает в облако Alibaba в Китае, а что касается медицинской информации, то она была получена только от 140 участников бета-тестирования нового продукта, который разрабатывается в Wyze. В компании также отрицают сбор информации о костях и потреблении белков пользователей.

По утверждению самой компании Wyze, база данных создавалась для внутреннего использования, а общедоступной оказалась из-за ошибки отдельно взятого работника.

У всех пользователей продуктов Wyze отозваны токены авторизации, то есть, им придется заново войти в панели управления своих устройств. Аннулирована также интеграция камер Wyze с Alexa, The Google Assistant и IFTTT: их понадобится переподключить заново. Компания меняет настройки безопасности у своих камер, так что в ближайшие дни их придется перезапускать.