IoT-Anbieter Wyze gesteht Datenleck ein

[English]Noch ein Nachtrag vom Wochenende. Der IoT-Anbieter Wyze musste gerade ein Datenleck eingestehen. Fast 2,4 Millionen Nutzerdaten standen auf einem Server ungeschützt im Internet.


Anzeige

Wer ist Wyze?

Wyze ist ein US-Anbieter von ‘günstigen’ Smart-Home Geräten wie Kameras, Lampen, Schlösser oder ähnliches. Gegründet wurde das Ganze von ehemaligen Amazon-Angestellten. Wie die Firma mit China und Alibaba zusammen hängt (siehe die Hinweise hier), ist mir bisher unklar.

Wyze-Produkte
(Shop mit Wyze-Produkten, Quelle: 12security.com)

Alle diese schönen, neuen und intelligenten Geräte brauchen natürlich Zugang zur Cloud, damit der Besitzer auch per App auf die Daten zugreifen kann. Und die Besitzer legen sich dazu ein Konto mit Zugangsdaten an.

Das betrifft alles nur die Leute im fernen Amerika und tangiert uns nicht? Zumindest die Site homeandsmart.de hat sich in diesem Artikel mit deren WazeCam auseinander gesetzt. Die Überwachungskamera gibt es für 30 Euro, und die muss der deutsche Nutzer unbedingt haben.

Das Datenleck

Ich bin bereits am Wochenende über den nachfolgenden Tweet von Catalin Cimpanu auf das Datenleck aufmerksam geworden.

Der Anbieter wurde 26. Dezember 2019 kurz vor Veröffentlichung eines Beitrags durch die Sicherheitsforscher von 12Security.com über das Datenleck auf einem Elasticsearch Datenbank-Server informiert – wie man auf ZDNet nachlesen kann. Von IPVM wurden die Daten verifiziert, wie man hier nachlesen kann. Der Anbieter Wyze hat am 26./27. Dezember 2019 dann in einer Meldung das Datenleck öffentlich gemacht.

On December 26th at around 10:00 AM, we received a report of a data leak. We immediately restricted database access and began an investigation.

Today, we are confirming that some Wyze user data was not properly secured and left exposed from December 4th to December 26th.


Anzeige

Der Hintergrund: Um das extrem schnelle Wachstum von Wyze zu bewältigen, hat der Anbieter vor kurzem ein neues internes Projekt gestartet. Es geht um bessere Möglichkeiten zur Messung grundlegender Geschäftskennzahlen wie Geräteaktivierungen, und es geht darum, fehlgeschlagene Verbindungsraten usw. zu finden. Der Anbieter hat dazu einige Daten von seinen Hauptproduktionsservern kopiert und in eine flexiblere und leichter abfragbare Datenbank gestellt. Diese neue Datentabelle war bei ihrer ursprünglichen Erstellung geschützt.

Am 4. Dezember 2019 machte jedoch ein Mitarbeiter von Wyze einen Fehler bei der Verwendung dieser Datenbank und die bisherigen Sicherheitseinstellungen für diese Daten wurden entfernt. In Folge waren diese Daten frei zugänglich. Wyze schreibt zwar, dass die Produktionsdatenbanken nicht zugänglich waren, sondern nur die neuen Tabellen mit den herausgezogenen Daten. Zwar waren keinen Benutzerkennwörter oder persönliche und finanzielle Informationen der Wyze-Nutzer gespeichert.

Aber die öffentlich erreichbaren Tabellen enthielten die E-Mail-Adressen von Kunden, die Namen (Aliase) der Kameras, WiFi-SSIDs, Wyze-Geräteinformationen, Körpermetriken für eine kleine Anzahl von Produkt-Betatestern und begrenzte Token, die mit Alexa-Integrationen in Verbindung stehen. Auch E-Mail-Adressen von Familienmitgliedern, denen Zugriff auf die Kameras gegeben wurde, waren darunter. Details sind hier nachlesbar.

Die Entdecker der Datenbank geben an, dass die sensiblen Daten alle zufällig außerhalb Chinas generiert wurden. Um die 24% der abrufbaren Daten bezogen sich auf Nutzer in den USA, Großbritannien, Vereinigte Arabische Emirate, Ägypten und Teile von Malaysia. Der Wyze Mitbegründer Dongsheng Song dementiert aber, dass Daten nach China, zur Plattform Alibaba übertragen worden seien. Die schmutzige Seite der Geschichte: Vor 7 Monaten gab es bereits diese Meldung, dass Fremde private Feeds von Wyze-Kameras abrufen konnten (hier gibt es einige Infos). Es soll sich um einen isolierten Einzelfall gehandelt haben, wo eine Kamera den Besitzer gewechselt hat und der Vorbesitzer die Daten weiter ansehen konnte.

Alles vorsorglich zurückgesetzt

Es gibt laut Wyze keine Hinweise darauf, dass API-Token für iOS und Android aufgedeckt wurden. Der Hersteller hat sich aber entschieden, alle diese Zugangstokens als Vorsichtsmaßnahme zu aktualisieren. Alle Wyze-Benutzer wurden gezwungen, sich erneut in ihr Wyze-Konto einzuloggen, um neue Token zu generieren.

Außerdem hat der Anbieter alle 3rd-Party-Integrationen aufgehoben, Das führte dazu, dass die Nutzer die Integrationen mit Alexa, The Google Assistant und IFTTT wieder neu verknüpfen mussten, um die Funktionalität dieser Dienste wieder zu erhalten. Als zusätzlichen Schritt will der Hersteller Maßnahmen zur Verbesserung der Kamera-Sicherheit ergreifen, die in den nächsten Tagen einen Neustart der Wyze-Kameras verursachen werden.


Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu IoT-Anbieter Wyze gesteht Datenleck ein


  1. Anzeige
  2. Tom sagt:

    “Schöne neue IoT-Welt” ;-)
    Ja ist denn heut’ schon Weihnacht :-)

  3. Gaga sagt:

    Darum sage ich immer wieder… Vergesst den ganzen billigen Müll!

    Entweder Homematic (Homematic IP komponenten gehen auch, aber nur mit der CCU, nicht mit dem Cloud Gateway!), oder besser alles was möglich ist Wired. CCU ohne Cloud und als APP eine schöne Lösung mit NEO Creator.

    Wenn man das gut macht, dann hat man eine sauber und auf die persönlichen Bedürfnisse zugeschnittene Lösung. Wer den Fernzugriff braucht: VPN und Push- Nachrichten per E- Mail.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.