Una base de datos desprotegida expone datos de millones de clientes de Wyze

Wyze, proveedor de cámaras domésticas inteligentes y dispositivos conectados que se pueden integrar con asistentes domésticos inteligentes como Amazon Alexa y Google Assistant, ha reconocido que una base de datos Elasticsearch de su propiedad ha filtrado información de dispositivos conectados y correos electrónicos de millones de clientes.

Recomendados:  Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro.  Tendencias TI 2020, visionando el futuro. Webinar ondemand.

La base de datos, que permaneció expuesta desde el 4 de diciembre hasta el 26 de diciembre, contenía correos electrónicos de clientes junto con nombres de cámaras, SSID de WiFi e información del dispositivo Wyze. Según los informes, hasta 2,4 millones de usuarios de Wyze estuvieron expuestos. La base de datos no contenía contraseñas de usuario o información personal o financiera, según Wyze.

"Para ayudar a gestionar el crecimiento extremadamente rápido de Wyze, recientemente iniciamos un nuevo proyecto interno para encontrar mejores formas de medir las métricas empresariales básicas, como las activaciones de dispositivos, las tasas de conexión fallidas, etc.", ha explicado Wyze en una publicación en su blog. “Copiamos algunos datos de nuestros servidores de producción principales y los pusimos en una base de datos más flexible que es más fácil de consultar. Esta nueva tabla de datos estaba protegida cuando se creó originalmente. Sin embargo, un empleado de Wyze cometió un error el 4 de diciembre, cuando usaba esta base de datos, y se eliminaron los protocolos de seguridad anteriores para estos datos. Todavía estamos investigando este evento para descubrir por qué y cómo sucedió esto”.

También se expusieron en la base de datos tokens Alexa de 24.000 usuarios, lo que les permite integrar sus dispositivos Alexa con sus cámaras Wyze. La compañía asegura que no hay evidencias de que los tokens API para iOS y Android estuvieran expuestos, pero la compañía decidió actualizarlos como " medida de precaución".

“Forzamos a todos los usuarios de Wyze a iniciar sesión nuevamente en su cuenta para generar nuevos tokens. También desvinculamos todas las integraciones de terceros que hicieron que los usuarios volvieran a vincular las integraciones con Alexa, The Google Assistant e IFTTT para recuperar la funcionalidad de estos servicios. Como un paso adicional, estamos tomando medidas para mejorar la seguridad de la cámara, lo que hará que su cámara se reinicie en los próximos días", señalan desde la compañía.