La fuga del servidor Wyze expone datos de clientes de 2,4 millones de usuarios
Imagen: Wyze
Un servidor no seguro expuso los datos de los clientes de Wyze durante un período de tres semanas, el fabricante de cámaras de seguridad inteligentes ha admitido. La filtración fue descubierta por primera vez por la empresa de ciberseguridad Twelve Security, que publicó sus hallazgos el 26 de diciembre, mientras que IPVM,un blog centrado en productos de videovigilancia, fue capaz de verificar que sus propios datos se habían visto afectados por la filtración. Según Twelve Security, los datos de alrededor de 2,4 millones de clientes de Wyze se vieron comprometidos.
En una publicación del foro anunciando la filtración a sus usuarios, el cofundador de Wyze Dongsheng Song escribió que el servidor expuesto no era un servidor de producción, sino que era una “base de datos flexible” que fue creada para permitir que los datos de los clientes se consultaran más rápidamente. El cofundador dijo que un error de empleado llevó a que los protocolos de seguridad del servidor se eliminaran el 4 de diciembre, y los datos fueron expuestos hasta el 26 de diciembre, cuando la empresa fue consciente del problema.
En su entrada de blog sobre la filtración, Twelve Security dijo que el servidor incluía información como nombres de usuario, direcciones de correo electrónico, apodos de cámara, modelos de dispositivos, información de firmware, detalles de SSID de Wi-Fi, tokens de API para iOS y Android, y tokens Alexa de usuarios que conectado el asistente de voz de Amazon con sus cámaras de seguridad. (Wyze dice que la base de datos no incluía contraseñas de usuario.) La firma de ciberseguridad también afirmó que la base de datos incluía una gran variedad de información de salud, incluyendo la altura, peso, densidad ósea, y la ingesta diaria de proteínas. Song confirmó que alguna información de salud estaba presente gracias a una prueba beta de un nuevo producto a escala inteligente, pero discutió que alguna vez había recopilado información sobre la densidad ósea y la ingesta diaria de proteínas.
Twelve Security incluso afirmó que había “indicios claros” de que los datos se estaban enviando a la nube de Alibaba en China. El foro de Song publica las disputas de esto. Dijo que Wyze no utiliza Alibaba Cloud, y que aunque tiene empleados y socios de fabricación en China, no comparte datos de usuarios con ninguna agencia gubernamental.
En respuesta al lapso de seguridad, Song dice que Wyze ha comenzado a realizar una auditoría de todos sus servidores y bases de datos, y ha descubierto otra base de datos desprotegida. También dijo que la compañía está revisando “todos los aspectos” de sus directrices de seguridad. Mientras tanto, el cofundador dijo que los usuarios de Wyze deben tener cuidado con los ataques de phishing, y que la compañía ha cerrado la sesión de todos sus usuarios de sus cuentas y desvinculado sus integraciones de terceros para tratar de cerrar la laguna de seguridad causada por la API comprometida y fichas Alexa.
La fuga de datos se produce al final de un año difícil para Wyze. La compañía anunció una nueva función de detección de personas impulsada por IA en julio para sus cámaras de seguridad asequibles, sólo para que la startup de IA con la que se asoció en la función abandone en noviembre, poniendo en duda el futuro de la función. El lanzamiento de su servicio de suscripción también debía retrasarse ese mismo mes debido a “problemas críticos” no especificados.
Song estaba interesado en enfatizar que los precios presupuestarios de la compañía no significan que se tome la seguridad menos en serio. “A menudo hemos oído a la gente decir: ‘Usted paga por lo que obtiene’, suponiendo que los productos Wyze son menos seguros porque son menos costosos. Esto no es cierto”, escribió el cofundador. “Siempre nos hemos tomado la seguridad muy en serio, y estamos devastados porque decepcionamos a nuestros usuarios de esta manera”.
Contact Information:
Keywords: afds, afdsafds
