Стартап Wyze признал утечку данных 2,4 млн пользователей
Компания Wyze подтвердила, что ранее в этом месяце произошла утечка данных, в результате которой личные данные миллионов ее клиентов, возможно, оказались скомпрометированы. Пароли и финансовая информация не были раскрыты, но адреса электронной почты, сетевые идентификаторы Wi-Fi и метрики были оставлены незащищенными с 4 по 26 декабря, сообщили в компании.
Более 2,4 миллиона клиентов Wyze пострадали от утечки, по данным фирмы по кибербезопасности Twelve Security, которая впервые сообщила об утечке.
Утечка данных произошла из-за того, что внутренняя БД производителя (Elasticsearch) случайно оказалась в открытом доступе. Представители Wyze признаются, что вообще не используют Elasticsearch на продакшене, но сервер все же хранил актуальные данные клиентов:
«Чтобы справиться с чрезвычайно активным ростом Wyze, недавно мы запустили новый внутренний проект, в поисках более эффективных способов оценки основных бизнес-метрик, таких как активация устройств, частота неудачных соединений и так далее. Мы скопировали некоторые данные с наших основных продакшен-серверов и поместили в более гибкую БД, к которой проще обращаться. При создании эта новая БД была защищена, однако сотрудник Wyze допустил ошибку: 4 декабря, когда он использовал эту базу данных, предыдущие протоколы безопасности оказались удалены. Мы все еще изучаем это инцидент, чтобы выяснить, почему и как это произошло», - сообщают в компании.
Известно, что база содержала email-адреса, которые клиенты использовали для создания учетных записей Wyze, имена, которые пользователи присваивали своим камерам Wyze, идентификаторы SSID, а в случае 24 000 пользователей еще и токены Alexa, использующиеся для подключения устройств Wyze к устройствам Alexa.
Защита конфиденциальной пользовательской информации продолжает оставаться проблемой для менеджеров баз данных. Среди более громких утечек данных в этом году были имена, адреса и демографические данные 80 миллионов американских домохозяйств, а также ожидаемая зарплата более миллиона соискателей и тысячи паролей Facebook.
В своем заявлении представители Wyze отрицают, что в результате утечки пострадали API-токены Wyze, тогда как в своем блоге исследователи Twelve Security утверждают, что нашли такие токены, которые, по их словам, позволяли получить доступ к учетным записям Wyze с любого устройства на iOS или Android.
Кроме того, исследователи писали, что компания собирала и передавала данные пользователей на облачный сервер Alibaba Cloud в Китае, но эти обвинения производитель тоже отрицает.
Также представители компании объяснилИ, почему, согласно данным Twelve Security, Wyze собирает информацию о здоровье пользователей. Якобы эти данные собирались только для 140 пользователей, которые тестировали новый продукт Smart Scale. Таким образом, подтвердилась информация о сборе показателей роста, веса и пола пользователей, однако в компании настаивают, что никогда не собирали данные о плотности костей и ежедневном потреблении белка.
На данный момент проблемная БД уже пропала из сети, а специалисты Wyze приняли решение принудительно разлогинить всех пользователей Wyze, а также сгенерировать новые токены Wyze API и Alexa.