Компания Wyze, производящая различные умные девайсы (камеры наблюдения, розетки, лампочки, дверные замки и так далее), сообщила об утечке данных 2,4 млн пользователей.
Утечка данных произошла из-за того, что внутренняя БД производителя (Elasticsearch) случайно оказалась в открытом доступе. Представители Wyze признаются, что вообще не используют Elasticsearch на продакшене, но сервер все же хранил актуальные данные клиентов:
«Чтобы справиться с чрезвычайно активным ростом Wyze, недавно мы запустили новый внутренний проект, в поисках более эффективных способов оценки основных бизнес-метрик, таких как активация устройств, частота неудачных соединений и так далее. Мы скопировали некоторые данные с наших основных продакшен-серверов и поместили в более гибкую БД, к которой проще обращаться. При создании эта новая БД была защищена, однако сотрудник Wyze допустил ошибку: 4 декабря, когда он использовал эту базу данных, предыдущие протоколы безопасности оказались удалены. Мы все еще изучаем это инцидент, чтобы выяснить, почему и как это произошло».
Известно, что база содержала email-адреса, которые клиенты использовали для создания учетных записей Wyze, имена, которые пользователи присваивали своим камерам Wyze, идентификаторы SSID, а в случае 24 000 пользователей еще и токены Alexa, использующиеся для подключения устройств Wyze к устройствам Alexa.
В конечном итоге эту БД, «смотрящую» в сеть, обнаружили не специалисты компании, но исследователи из консалтинговой компании Twelve Security, а затем эти данные проверили журналисты IPVM , блога, посвященного продуктам видеонаблюдения. Интересно, что представители Wyze крайне недовольны тем, как исследователи подошли к вопросу раскрытия этой проблемы. Фактически, компании дали на исправление проблемы около 10 минут, после чего информация о БД была опубликована в сети.
«Впервые журналисты IPVM.com связались с нами 26 декабря, в 9:21, через заявку в службу поддержки. Статья была опубликована практически разу после этого (публикация в Twitter датирована 26 декабря, 9:35). Она была опубликована параллельно с сообщением в блоге частной ИБ-компании, также появившемся 26 декабря. Мы узнали об этой публикации в 10:00 от члена сообщества, который прочитал статью», — рассказывает сооснователь Wyze Душен Сонг (Dongsheng Song).
Также в своем заявлении представители Wyze отрицают, что в результате утечки пострадали API-токены Wyze, тогда как в своем блоге исследователи Twelve Security утверждают, что нашли такие токены, которые, по их словам, позволяли получить доступ к учетным записям Wyze с любого устройства на iOS или Android.
Кроме того, исследователи писали, что компания собирала и передавала данные пользователей на облачный сервер Alibaba Cloud в Китае, но эти обвинения производитель тоже отрицает. Также Душен Сонг объяснил, почему, согласно данным Twelve Security, Wyze собирает информацию о здоровье пользователей. Якобы эти данные собирались только для 140 пользователей, которые тестировали новый продукт Smart Scale. Таким образом, подтвердилась информация о сборе показателей роста, веса и пола пользователей, однако в компании настаивают, что никогда не собирали данные о плотности костей и ежедневном потреблении белка.
Как бы то ни было, проблемная БД уже пропала из сети, а специалисты Wyze приняли решение принудительно разлогинить всех пользователей Wyze, а также сгенерировать новые токены Wyze API и Alexa.
