Произошла утечка данных с сервера, в результате которой в Сети оказалась персональная информация примерно 2,4 млн клиентов устройств «умный дом».
Стала доступной информация об адресах электронной почты клиентов, названия камер безопасности, SSID-идентификаторы Wi-Fi-сети и пр.
Утечка произошла с серверов поставщика «умных» устройств Wyze, который уже подтвердил это событие.
Как выяснилось, клиентская база данных случайно оказалась доступной в Интернете, несмотря на то, что сервер не являлся производственной системой, а только хранил такую информацию и обеспечивал технологию для обеспечения быстрых поисковых запросов.
Он был разработан с целью оказания помощи разработчикам компании, для того чтобы разобраться в огромном количестве пользовательских данных.
Работники компании скопировали файлы с основных производственных серверов и поместили их в более гибкую базу данных.
Изначально это хранилище было защищено, но сотрудники Wyze допустили ошибку, в результате чего предыдущие протоколы безопасности были удалены.
Компания Wyze занимается разработкой таких девайсов, как камеры наблюдения, розетки, лампочки, дверные замки и так далее.
Утечку обнаружили исследователи из консалтинговой компании Twelve Security, а не специалисты компании Wyze.
Как оказалось, разработчикам компании Wyze дали на исправление проблемы не более 10 минут, после чего конфиденциальная информация попала в Сеть.
Представители Wyze отрицают, что в результате утечки пострадали API-токены Wyze.
Но исследователи Twelve Security заявляют, что обнаружили такие токены, которые позволяли получить доступ к учетным записям Wyze с любого устройства на iOS или Android.
Кроме того сообщается, что компания собирала и передавала данные пользователей на облачный сервер Alibaba Cloud в Китае.
Подобные обвинения производитель отрицает.
Также стало известно, что Wyze собирает информацию о здоровье пользователей.
Сообщается, что эти данные якобы собирались только для 140 пользователей, которые тестировали новый продукт Smart Scale.
В настоящее время проблема решена, а специалисты Wyze приняли решение принудительно «разлогинить» пользователей Wyze и сгенерировать новые токены Wyze API и Alexa.
Фото: Pixabay
