Smart-Home-Anbieter Wyze verliert Daten von mehr als 2,4 Millionen Kunden

Wyze Labs, Anbieter von Smart-Home-Produkten wie Überwachungskameras, Glühbirnen, Steckdosen, Bewegungssensoren und Türschlössern, hat Daten von mehr als 2,4 Millionen seiner Nutzer verloren. Die Daten waren laut einem Bericht von Bleeping Computer in einer ungeschützten Datenbank gespeichert, die wiederum mit einem Elasticsearch-Cluster verbunden war, und zwar über einen Zeitraum von drei Wochen.

Das Unternehmen bemerkte die Sicherheitslücke demnach am 26. Dezember, nachdem ein Journalist von IPVM eine Support-Anfrage bei Wyze eingereicht beziehungsweise rund 15 Minuten später einen Artikel über den Vorfall veröffentlicht hatte. Die Datenbank selbst war von der Beratungsfirma Twelve Security entdeckt worden.

Die ungesicherten Daten waren offenbar eine Kopie einer Datenbank, die wiederum einen Teil aller von Nutzern gespeicherten Daten enthielt. Sie wurde erstellt, um Telemetriedaten über Geräteaktivierungen oder gescheiterte Verbindungsversuche zu gewinnen. “ Abfragen wie diese sind aufwendig in Bezug auf Computerressourcen und hätten das Produkterlebnis erheblich beeinträchtigt“, erklärte Dongsheng Song, Mitgründer und Chief Product Officer by Wyze. „Aus diesem Grund haben wir eine separate Datenbank speziell für die Bearbeitung dieser Anfragen eingerichtet.

Anfänglich sei die Datenbank korrekt eingerichtet worden, also mit einer Passwortabfrage. Ein Mitarbeiter habe jedoch am 4. Dezember versehentlich die Sicherheitsprotokolle entfernt. Nach Veröffentlichung des Berichts von IPVM sei die Datenbank sofort abgeschaltet worden, noch bevor man die Vorwürfe geprüft habe.

Dass die Daten von Wyze-Kunden öffentlich verfügbar waren, bestätigte dem Bericht zufolge auch Bob Diachenko von Security Discovery. Er zählte in der Datenbank 1,8 Milliarden Datensätze mit Log-Daten, API-Abfragen und -Ereignissen.

Wyze bestätigte indes, dass unter anderem E-Mail-Adressen und Benutzernamen, WLAN-SSIDs und Informationen über Wyze-Geräte von Kunden kompromittiert wurden. Außerdem waren rund 24.000 Tokens von Alexa-Integrationen und Daten wie Körpergröße, Gewicht und Geschlecht v on einigen Beta-Testern für jedermann einsehbar. In der Datenbank befanden sich außerdem Gesundheitsdaten von rund 140 externen Beta-Testern.

In einigen Details widersprach er zudem den Erkenntnissen von Twelve Security. So soll in der Datenbank weder Finanzdaten von Passwörter gespeichert gewesen sein. Es gebe auch keine Hinweise auf kompromittierte API-Tokens für iOS und Android. Außerdem schicke Wyze keine Daten an Alibaba Cloud. Im Rahmen der Beta-Tests würden außerdem keine Informationen über Knochendichte oder Proteineinnahmen von Testern gesammelt.

Als Sicherheitsvorkehrungen setzte das Unternehmen jedoch alle Anmelde-Tokens seiner Nutzer zurück. Diese müssen sich als Folge beim nächsten Zugriff auf ihr Konto erneut anmelden, und die Integrationen für Alexa, Google Assistant und IFTTT erneuern. Des Weiteren warnt Wyze die Betroffenen vor möglichen Phishing-Angriffen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

4 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

4 Tagen ago