O fornecedor de IoT (Internet of Things; em português: Internet das Coisas) Wyze, que fabrica dispositivos inteligentes como câmeras de segurança e fechaduras, confirmou que deixou acidentalmente um banco de dados interno exposto on-line, e um vazamento de dados expôs os detalhes de até 2,4 milhões de clientes.
Wyze sofre vazamento de dados
A princípio, a empresa de segurança cibernética Twelve Security foi a primeira a notar e anunciar o problema. Ela disse que as informações expostas incluem endereços de e-mail, uma lista de câmeras em casa, tokens de API, SSIDs de WiFi e dados de saúde, como altura, peso, sexo, densidade e massa óssea, ingestão de proteínas e muito mais.
Um pesquisador da Twelve Security escreveu:
Se isso foi espionagem intencional ou negligência grave, continua sendo uma ação maliciosa que deve ser respondida na forma de uma investigação decisiva, externa e rápida pelas autoridades americanas.
O que diz a Wyze
O co-fundador da Wyze, Dongsheng Song, confirmou que os dados do usuário não foram devidamente protegidos e que eles ficaram expostos de 4 a 26 de dezembro. Além disso, ele enfatizou que senhas e detalhes de finanças pessoais não foram incluídos no vazamento, acrescentando que o banco de dados (um sistema Elasticsearch) não era um sistema de produção, embora estivesse armazenando dados do usuário.
Ele disse:
Para ajudar a gerenciar o crescimento extremamente rápido da Wyze, recentemente iniciamos um novo projeto interno para encontrar maneiras melhores de medir métricas básicas de negócios, como ativações de dispositivos, taxas de conexão com falha etc.
Assim, copiamos alguns dados de nossos principais servidores de produção e os colocamos em um banco de dados mais flexível e fácil de consultar. Porém, essa nova tabela de dados foi protegida quando foi criada originalmente. No entanto, um funcionário da Wyze cometeu um erro no dia 4 de dezembro. Isso ocorreu quando ele estava usando esse banco de dados e os protocolos de segurança anteriores para esses dados foram removidos. Portanto, ainda estamos analisando esse evento para descobrir por que e como isso aconteceu.
A Wyze negou algumas partes do relatório da Twelve Securities, incluindo o vazamento de tokens de API, informações de densidade óssea e ingestão de proteínas. Porém, ela admite que as “métricas corporais” para um pequeno número de beta testers foram expostas. Além disso, a empresa está investigando o vazamento e planeja notificar os clientes afetados por e-mail.
Por fim, veja como é uma câmera da Wyze no vídeo abaixo:
Fonte: Tech Spot