Wyze è un’azienda che produce diversi dispositivi smart, tra cui videocamere di sorveglianza piuttosto economiche e compatibili con Alexa. Un ricercatore di Twelve Security ha scoperto online un database con numerosi dati sensibili di circa 2,4 milioni di utenti. L’azienda di Seattle ha subito adottato le misure necessarie per bloccare ulteriori accessi non autorizzati e avviato un’indagine che ha permesso di svelare la causa del leak.
Dopo aver ricevuto la segnalazione da IPVM, un blog dedicato ai prodotti per la videosorveglianza, Wyze ha aggiunto un ulteriore livello di protezione ai suoi database (nuovi permessi e una whitelist per indirizzi IP) ed effettuato un refresh dei token, come misura precauzionale. Gli utenti devono quindi ripetere il login all’account e collegare nuovamente i servizi di terze parti (Amazon Alexa, Google Assistant e IFTTT). Gli utenti sono inoltre invitati a cambiare la password e attivare l’autenticazione in due fattori nell’app Wyze.
In base all’articolo del ricercatore, sono state pubblicate online diverse informazioni: username, email, elenco delle videocamere presenti nell’abitazione con nickname, modello e versione del firmware, SSID della rete WiFi, API Token per l’accesso all’account da dispositivi iOS e Android, Alexa Token per gli utenti che usano Alexa e soprattutto vari dati sulla salute, tra cui altezza, peso, sesso, densità ossea e proteine assunte.
Dopo circa 24 ore dalla segnalazione, Wyze ha confermato l’accesso non autorizzato e la pubblicazione online del database tra il 4 e il 26 dicembre, descrivendo la causa del leak. Per studiare specifiche metriche, come il numero di attivazioni e la percentuale di connessioni fallite, l’azienda ha copiato alcuni dati dal database di produzione ad un database più flessibile che semplifica l’esecuzione delle query. Tutti i dati erano stati protetti, ma un dipendente di Wyze ha rimosso per errore il protocollo di sicurezza.
L’azienda ha però dichiarato che le password e le informazioni finanziarie degli utenti sono al sicuro, smentendo inoltre alcune affermazioni dell’autore dell’articolo. Non sono stati pubblicati gli API Token per iOS e Android e nessun dato è stato inviato ai server Alibaba Cloud in Cina. I dati sulla salute sono invece riferiti solo a 140 utenti che hanno testato una bilancia smart. Wyze ha promesso che migliorerà la sicurezza dei suoi sistemi per evitare che simili incidenti possano accadere nuovamente in futuro.