Wyze Labs, Anbieter von Smart-Home-Produkten wie Überwachungskameras, Glühbirnen, Steckdosen, Bewegungssensoren und Türschlössern, hat Daten von mehr als 2,4 Millionen seiner Nutzer verloren. Die Daten waren laut einem Bericht von Bleeping Computer in einer ungeschützten Datenbank gespeichert, die wiederum mit einem Elasticsearch-Cluster verbunden war, und zwar über einen Zeitraum von drei Wochen.
Die ungesicherten Daten waren offenbar eine Kopie einer Datenbank, die wiederum einen Teil aller von Nutzern gespeicherten Daten enthielt. Sie wurde erstellt, um Telemetriedaten über Geräteaktivierungen oder gescheiterte Verbindungsversuche zu gewinnen. “ Abfragen wie diese sind aufwendig in Bezug auf Computerressourcen und hätten das Produkterlebnis erheblich beeinträchtigt“, erklärte Dongsheng Song, Mitgründer und Chief Product Officer by Wyze. „Aus diesem Grund haben wir eine separate Datenbank speziell für die Bearbeitung dieser Anfragen eingerichtet.
Anfänglich sei die Datenbank korrekt eingerichtet worden, also mit einer Passwortabfrage. Ein Mitarbeiter habe jedoch am 4. Dezember versehentlich die Sicherheitsprotokolle entfernt. Nach Veröffentlichung des Berichts von IPVM sei die Datenbank sofort abgeschaltet worden, noch bevor man die Vorwürfe geprüft habe.
Dass die Daten von Wyze-Kunden öffentlich verfügbar waren, bestätigte dem Bericht zufolge auch Bob Diachenko von Security Discovery. Er zählte in der Datenbank 1,8 Milliarden Datensätze mit Log-Daten, API-Abfragen und -Ereignissen.
Wyze bestätigte indes, dass unter anderem E-Mail-Adressen und Benutzernamen, WLAN-SSIDs und Informationen über Wyze-Geräte von Kunden kompromittiert wurden. Außerdem waren rund 24.000 Tokens von Alexa-Integrationen und Daten wie Körpergröße, Gewicht und Geschlecht v on einigen Beta-Testern für jedermann einsehbar. In der Datenbank befanden sich außerdem Gesundheitsdaten von rund 140 externen Beta-Testern.
In einigen Details widersprach er zudem den Erkenntnissen von Twelve Security. So soll in der Datenbank weder Finanzdaten von Passwörter gespeichert gewesen sein. Es gebe auch keine Hinweise auf kompromittierte API-Tokens für iOS und Android. Außerdem schicke Wyze keine Daten an Alibaba Cloud. Im Rahmen der Beta-Tests würden außerdem keine Informationen über Knochendichte oder Proteineinnahmen von Testern gesammelt.
Als Sicherheitsvorkehrungen setzte das Unternehmen jedoch alle Anmelde-Tokens seiner Nutzer zurück. Diese müssen sich als Folge beim nächsten Zugriff auf ihr Konto erneut anmelden, und die Integrationen für Alexa, Google Assistant und IFTTT erneuern. Des Weiteren warnt Wyze die Betroffenen vor möglichen Phishing-Angriffen.
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…