Wyze Kullanıcı Verileri Açık Veri Tabanında Bulundu

Akıllı ev teknolojisi üreticisi Wyze Labs, 2,4 milyondan fazla kendi kullanıcılarının verilerinin 4 Aralık’tan 26 Aralık’a kadar üç haftadan uzun bir süre boyunca bir Elasticsearch kümesine bağlı güvenli olmayan bir veritabanıyla paylaştığını doğruladı.

Şirket olayı bir IPVM muhabirinden “26 Aralık’ta 9:21’de destek bileti” ile bir soruşturma aldıktan sonra keşfetti ve hemen ardından IPVM tarafından keşfedilen açık veritabanı ile ilgili  bir kısım bilgiler güvenlik danışmanlığı şirketi Twelve Security tarafından yayınlandı.

Bununla birlikte, Wyze’nin Kurucu Ortağı ve Ürün Sorumlusu Dongsheng Song bir blog yazısında bildirilen bilgilerin bazılarının doğru olmadığını söyledi. “Alibaba Cloud’a veri göndermiyoruz. Beta testinde olan ürünlerden bile kemik yoğunluğu ve günlük protein alımı hakkında bilgi toplamıyoruz” Twelve Security’nin açıklamasına ve IPVM’nin paylaşımına yanıt olarak cevap verdi ve şöyle devam etti: “6 ay önce benzer bir ihlali olmadı.”

Güvenli olmayan veriler şirketin tüm kullanıcı bilgilerinin bir alt kümesini içeren üretim veritabanının bir kopyasıydı ve Wyze tarafından bağlı cihazların sayısını, bağlantı hatalarını sorgulayarak cihaz aktivasyonları, başarısız bağlantı oranları gibi temel iş ölçümlerini ölçmek için oluşturulan verileri içeren bir veritabanından oluşuyordu.

Wyze’nin açık bir Elasticsearch kümesinde sahip olduğu veritabanının günlük verileri, API istekleri ve olaylar dahil olmak üzere 1.807.201.457 kayıt içerdiğini belirten Security Discovery araştırmacısı Bob Diachenko tarafından da doğrulandı.

Wyze CPO, Twelve Security’nin 26 Aralık raporunda yayınlanan açıklanmış bilgilerle ilgili bilgilerin bir kısmını doğruladı. Güvenli olmayan veritabanında müşteri e-postaları ve kamera takma adları, WiFi SSID’leri, Wyze ile ilgili kabaca 24.000 güvenlik belirteci (security token) ve daha az sayıda kişi için boy, kilo, cinsiyet ve diğer sağlık bilgilerini içeren vücut metriklerini içerdiğini belirtti. Wyze ayrıca açık veritabanında saklanan sınırlı bir yeni donanıma sahip henüz beta sürecinde olan 140 harici sağlık cihazının bilgisine sahipti.

Wyze’nin kurucu ortağı bu gelişmeler üzerine “iOS ve Android için API belirteçlerinin(tokens) açığa çıktığına dair net bir kanıt yok ancak araştırmamıza ihtiyati tedbir olarak başladığımızdan bunları yenilemeye karar verdik” şeklinde açıklama yaptı.

Bu güvenlik olayının etkisiyle ilgili olarak Wyze müşterilerine, üçüncü taraftan gelen e-posta adreslerinde artış olabileceğinden ve gelecekteki kimlik avı girişimlerine karşı dikkatli olmalarını önerdi.

About The Author

Reply