Smart-Home-Anbieter Wyze verliert Daten von mehr als 2,4 Millionen Kunden

Wyze Labs, Anbieter von Smart-Home-Produkten wie Überwachungskameras, Glühbirnen, Steckdosen, Bewegungssensoren und Türschlössern, hat Daten von mehr als 2,4 Millionen seiner Nutzer verloren. Die Daten waren laut einem Bericht von Bleeping Computer in einer ungeschützten Datenbank gespeichert, die wiederum mit einem Elasticsearch-Cluster verbunden war, und zwar über einen Zeitraum von drei Wochen.

Das Unternehmen bemerkte die Sicherheitslücke demnach am 26. Dezember, nachdem ein Journalist von IPVM eine Support-Anfrage bei Wyze eingereicht beziehungsweise rund 15 Minuten später einen Artikel über den Vorfall veröffentlicht hatte. Die Datenbank selbst war von der Beratungsfirma Twelve Security entdeckt worden.

Die ungesicherten Daten waren offenbar eine Kopie einer Datenbank, die wiederum einen Teil aller von Nutzern gespeicherten Daten enthielt. Sie wurde erstellt, um Telemetriedaten über Geräteaktivierungen oder gescheiterte Verbindungsversuche zu gewinnen. “ Abfragen wie diese sind aufwendig in Bezug auf Computerressourcen und hätten das Produkterlebnis erheblich beeinträchtigt“, erklärte Dongsheng Song, Mitgründer und Chief Product Officer by Wyze. „Aus diesem Grund haben wir eine separate Datenbank speziell für die Bearbeitung dieser Anfragen eingerichtet.

Anfänglich sei die Datenbank korrekt eingerichtet worden, also mit einer Passwortabfrage. Ein Mitarbeiter habe jedoch am 4. Dezember versehentlich die Sicherheitsprotokolle entfernt. Nach Veröffentlichung des Berichts von IPVM sei die Datenbank sofort abgeschaltet worden, noch bevor man die Vorwürfe geprüft habe.

Dass die Daten von Wyze-Kunden öffentlich verfügbar waren, bestätigte dem Bericht zufolge auch Bob Diachenko von Security Discovery. Er zählte in der Datenbank 1,8 Milliarden Datensätze mit Log-Daten, API-Abfragen und -Ereignissen.

Wyze bestätigte indes, dass unter anderem E-Mail-Adressen und Benutzernamen, WLAN-SSIDs und Informationen über Wyze-Geräte von Kunden kompromittiert wurden. Außerdem waren rund 24.000 Tokens von Alexa-Integrationen und Daten wie Körpergröße, Gewicht und Geschlecht v on einigen Beta-Testern für jedermann einsehbar. In der Datenbank befanden sich außerdem Gesundheitsdaten von rund 140 externen Beta-Testern.

In einigen Details widersprach er zudem den Erkenntnissen von Twelve Security. So soll in der Datenbank weder Finanzdaten von Passwörter gespeichert gewesen sein. Es gebe auch keine Hinweise auf kompromittierte API-Tokens für iOS und Android. Außerdem schicke Wyze keine Daten an Alibaba Cloud. Im Rahmen der Beta-Tests würden außerdem keine Informationen über Knochendichte oder Proteineinnahmen von Testern gesammelt.

Als Sicherheitsvorkehrungen setzte das Unternehmen jedoch alle Anmelde-Tokens seiner Nutzer zurück. Diese müssen sich als Folge beim nächsten Zugriff auf ihr Konto erneut anmelden, und die Integrationen für Alexa, Google Assistant und IFTTT erneuern. Des Weiteren warnt Wyze die Betroffenen vor möglichen Phishing-Angriffen.