Na splet ušli podatki 2,4 milijona uporabnikov kamer Wyze - Android

Na splet ušli podatki 2,4 milijona uporabnikov kamer Wyze - Android

Proizvajalec varnostnih kamer Wyze je potrdil, da so se na spletu v nezaščiteni podatkovni bazi znašli osebni podatki več kot 2,4 milijona uporabnikov njihovih kamer. Podatkovna baza je bila nezaščitena med 4. in 26. decembrom, njeno izpostavljenost pa je najprej opazilo podjetje za spletno varnost Twelve Security, kar je potrdil tudi soustanovitelj podjetja Dongsheng Song. […]

Proizvajalec varnostnih kamer Wyze je potrdil, da so se na spletu v nezaščiteni podatkovni bazi znašli osebni podatki več kot 2,4 milijona uporabnikov njihovih kamer. Podatkovna baza je bila nezaščitena med 4. in 26. decembrom, njeno izpostavljenost pa je najprej opazilo podjetje za spletno varnost Twelve Security, kar je potrdil tudi soustanovitelj podjetja Dongsheng Song.

Izpostavljena podatkovna baza je bila kopija produkcijske podatkovne baze, ki jo je podjetje uporabljalo za razvoj programske opreme. V bazi so se nahajali podatki o imenih in naslovih uporabnikov, imenih kamer, strukturi uporabnikovega Wi-Fi omrežja, na katerega je bila povezana kamera in API podatki za dostpo do uporabniškega računa preko mobilnih naprav z operacijskima sistemoma iOS in Android. Za manjši delež uporabnikov (okoli 140) so bili celo izpostavljeni podatki o njihovi višini, teži, spolu, gostoti kosti, masi okostja, količini dnevno zaužitih beljakovin in ostali zdravstveni podatki. V podatkovni bazi se je skupno nahajalo več kot 1,8 milijarde zapisov.

Vir: IPVM

Po podatkih raziskovalca podjetja Twelve Security, ki je prvi obelodanil novico, je bila podatkovna baza popolnoma nezazščitena in dostopna komurkoli. Raziskovalec je poleg tega v objavi zapisal, da pred objavo zapisa ni obvestil podjetja zaradi predhodnih varnostnih težav njihovih kamer, pri katerih je Amazonova naprava za pametni dom Alexa uporabniku prikazala posnetek Wyze kamere tretjega uporabnika. Avtor objave je poleg tega zapisal, da so bile v podatkovni bazi prisotni jasni indikatorji, da podjetje pošilja podatke na Kitajsko, natančneje na oblak podjetja Alibaba. Noben od prizadetih uporabnikov ni bil iz Kitajske.

Song je sicer potrdil izpostavljenost podatkovne baze, vendar je zanikal dele poročila Twelve Security, ki so se nanašali na pošiljanje uporabniških podatkov na Kitajsko in na zbiranje podatkov o gostoti kosti in dnevnem vnosu beljakovin. Izpostavljenost podatkovne baze je neodvisno potrdilo tudi podjetje IPVM, ki se ukvarja s spletno varnostjo.

Wyze je svoje uporabnike obvestil preko objave na forumu, v kateri so zapisali, da so podatki na splet ušli zaradi napake enega od zaposlenih, ki je po uporabi podatkovne baze pomotoma odstranil varnostne protokole, ki so ščitili podatkovno bazo. Podatkovna baza je bila umaknjena s spleta, Wyze pa je svoje uporabnike prisilno izpisal iz njihovih uporabniških računov in iz njih odstranil integracijo s tretjimi napravami (npr. Alexa).

Uvodna fotografija: Smart Home Solver

31/12/2019 11:30 AM