В течение трех недель база данных, содержавшая информацию о клиентах производителя устройств интернета вещей Wyze, оставалась общедоступной. Снова речь идет о неправильно настроенной базе данных Elasticsearch.
Три недели общего доступа
Известный во всем мире поставщик решений интернета вещей Wyze Labs признал, что данные значительного количества клиентов компании в течение трех недель лежали в открытом доступе. На одном из серверов компании была некорректно настроена база данных Elasticsearch, и это могло привести к компрометации данных 2,4 млн клиентов.
Wyze производит смарт-устройства для дома и беспроводные камеры, так что большая часть потенциальных жертв — частные пользователи.
По данным компании Twelve Security, база оказалась в открытом доступе 4 декабря 2019 г., и до 26 декабря оставалась общедоступной. Незащищенными оказались имена и почтовые адреса покупателей беспроводных камер Wyze, а также членов их семей, которым был предоставлен доступ к панели управления камерами, список всех камер, установленных в каждом конкретном доме, с информацией об их обозначении, модели и версии прошивки, SSID-идентификаторы сетей Wi-Fi, подробности относительно включения камер и входа в управляющие приложения, API-токены для 24 тыс. пользователей, подключивших свои устройства Alexa к камерам Wyze. Кроме того, в базе данных содержались приватные медицинские сведения о некоторой части пользователей. В Twelve Security утверждают, что в базе оказались такие подробности, как показатель плотности костей и ежедневные объемы потребления белков.
Эксперты Twelve Security также указывают, что им удалось найти API-токены, которые позволят хакерам получать доступ к пользовательским аккаунтам Wyze с любого устройства под управлением iOS или Android.
Данные об утечке независимо подтвердили авторы блога IPVM, специализирующегося на инструментах для слежения.
Вы не дали нам шанса!
Сооснователь Wyze Дуншен Сун (Dongsheng Song), со своей стороны, признал утечку, но отметил, что Twelve Security и IPVM раскрыли информацию об утечке, не дав Wyze времени исправить проблему. Вечером 26 декабря 2019 г. Wyze получила информацию от одного из авторов IPVM.com, а спустя 15 минут сообщение об этом инциденте уже было опубликовано в Twitter.
Более того, по словам Суна, далеко не все в публикации IPVM соответствует действительности: например, информация от Wyze не поступает в облако Alibaba в Китае, а что касается медицинской информации, то она была получена только от 140 участников бета-тестирования нового продукта, который разрабатывается в Wyze. В компании также отрицают сбор информации о костях и потреблении белков пользователей
По утверждению самой компании Wyze, база данных создавалась для внутреннего использования, а общедоступной оказалась из-за ошибки отдельно взятого работника.
У всех пользователей продуктов Wyze отозваны токены авторизации, то есть, им придется заново войти в панели управления своих устройств. Аннулирована также интеграция камер Wyze с Alexa, The Google Assistant и IFTTT: их понадобится переподключить заново. Кроме этого, компания меняет настройки безопасности у своих камер, так что в ближайшие дни их придется перезапускать.
«За прошедшие пару лет произошло множество инцидентов, когда в Сети обнаруживались общедоступные базы данных Elasticsearch, ставившие под угрозу от сотен тысяч до миллиардов записей разной степени конфиденциальности, — говорит Олег Галушкин, генеральный директор компании SEC Consult Services. — Все инциденты вызваны одной и той же проблемой: ошибками в настройках безопасности, допущенных сотрудниками претерпевших утечку организаций. Для поиска уязвимых баз вовсю используются технические средства, то есть автоматизированные поисковики, так что можно гарантировать неоднократное повторение подобных инцидентов».
https://safe.cnews.ru/news/top/2020-01-03_milliony_domashnih_kamer
