El miedo de la privacidad lleva a Wyze a impacerlo todos los dispositivos de Google Assistant y Alexa, deberá agregarlos (Actualización: respuestas adicionales)

Leer actualización
  • La respuesta de Wyze, nuevas acusaciones

El fabricante de electrodomésticos inteligentes Wyze ha respondido a lo que llama una "supuesta" violación de datos contra sus bases de datos de producción al cerrar la sesión de todos los usuarios de sus cuentas y ha reforzado la seguridad de sus servidores. Los clientes se sometieron a un largo proceso de reautenticación cuando la empresa respondió a una serie de informes que afirmaban que la empresa almacenaba información confidencial sobre las cámaras de seguridad, las redes locales y las direcciones de correo electrónico de las personas en bases de datos expuestas.

Twelve Security, con sede en Texas, una autodenominada firma de consultoría "boutique", publicó ayer el reclamo de una violación contra las dos bases de datos Elasticsearch de Wyze en Medium. Se dice que los datos no seguros provienen de 2,4 millones de usuarios. Una pluralidad de ellos se encuentran en la costa este de los Estados Unidos, aunque los datos se obtuvieron de todo el país, así como del Reino Unido, los Emiratos Árabes Unidos, Egipto y partes de Malasia.

ANDROIDPOLICE VÍDEO DEL DÍA

El conjunto de datos incluía cualquier dirección de correo electrónico que se haya registrado o haya compartido acceso a una cámara, los modelos, las versiones de firmware y los nombres asignados de cada cámara en un hogar, la hora de la última activación de los dispositivos, las horas del último inicio de sesión y cierre de sesión de los usuarios, tokens de inicio de sesión de cuenta para los dispositivos Android e iOS de los usuarios, tokens de acceso a la cámara para los dispositivos Alexa de los usuarios, SSID de Wi-Fi y diseño de subred interna. Un subconjunto particular de usuarios que dieron o han hecho un seguimiento de su altura, peso, sexo, salud ósea e información sobre la ingesta de proteínas también pueden haber tenido esos datos expuestos. Twelve Security también señaló que había "indicaciones claras" de que los datos se traficaban a través de los servidores de Alibaba Cloud en China.

El blog de noticias de videovigilancia IPVM hizo un seguimiento con Twelve Security y pudo detectar cuentas y dispositivos vinculados a su personal que revisó los productos Wyze.

Twelve Security optó por no notificar a Wyze antes de hacer públicos sus reclamos por sospecha de negligencia grave de la compañía o un esfuerzo de espionaje concentrado, basado en el supuesto enlace de Alibaba Cloud, así como en un error de seguridad anterior donde los usuarios de Alexa podían ver las cámaras de los dispositivos. han revendido a otras personas que la vulnerabilidad ha sido reparada desde entonces.

En un boletín en los foros de su comunidad, Wyze declaró que IPVM lo notificó ayer por la mañana y no pudo verificar una infracción. También negó cualquier asociación con Alibaba Cloud.

La compañía dijo que decidió por precaución ajustar los permisos de acceso para sus bases de datos y borrar todos los tokens de inicio de sesión activos, lo que también eliminó las integraciones de Alexa, Google Assistant e IFTTT de los usuarios. Los clientes que emplearon la autenticación de dos factores se quejaron poco después de la actualización del token de que sus intentos de inicio de sesión fueron denegados debido a varios errores. Wyze actualizó su boletín a última hora de la noche para informar que había solucionado el proceso de inicio de sesión de 2FA.

Wyze, con sede en Seattle, vende enchufes inteligentes, luces, cámaras de seguridad y similares a precios muy por debajo de la competencia. Puede hacerlo recurriendo a los proveedores de funciones de software avanzadas. Xnor.ai canceló recientemente su contrato con Wyze para proporcionar a sus cámaras detección de sujetos y otorgar una serie de recursos, incluida la fabricación, en China. Si bien nos gustaría ver más detalles, los informes de Twelve e IPVM hasta este punto pueden generar dudas, al menos, sobre cómo Wyze maneja sus recursos.

ACTUALIZACIÓN: 2019/12/30 9:27 a.m. PST POR JULES WANG

La respuesta de Wyze, nuevas acusaciones

Wyze ha actualizado su boletín dos veces durante el fin de semana.

Explicó que un empleado que administraba un nuevo proyecto de servidor había cometido un "error" con los datos copiados de sus principales servidores de producción el 4 de diciembre y había dejado esos datos sin proteger hasta que Wyze reforzó la seguridad el 26. Inicialmente admitió que solo una base de datos estaba expuesta, luego un usuario de Wyze le notificó sobre una segunda base de datos. La compañía dice que todavía está investigando por qué sucedió eso y actualmente está auditando sus servidores y bases de datos.

La compañía dice que el conjunto de datos incluía correos electrónicos de clientes, apodos de cámaras, SSID de Wi-Fi, información del dispositivo Wyze, métricas corporales para una pequeña cantidad de probadores beta de productos y tokens limitados asociados con las integraciones de Alexa. Según el conocimiento de la empresa, el conjunto de datos no contenía contraseñas ni información personal o financiera regulada por el gobierno ni tokens API para dispositivos Android e iOS.

Wyze una vez más negó haber usado Alibaba Cloud para manejar los datos de los usuarios. También refutó las afirmaciones de Twelve Security, aunque no mencionó el nombre de la consultora de seguridad que recopiló información sobre la densidad ósea y la ingesta diaria de proteínas de cualquier producto, incluidos los que se encuentran en pruebas beta. También negó haber tenido una "infracción similar" hace seis meses, tal vez refiriéndose al problema de visualización de la cámara de Alexa mencionado anteriormente, pero eso fue más una vulnerabilidad que una infracción para el registro, tampoco son cosas buenas.

Los usuarios afectados deben esperar un correo electrónico de la empresa en breve, notificándoles qué datos se han visto comprometidos. Es posible que lleguen más correos electrónicos a medida que avanza la investigación. La compañía se ha disculpado por el descuido.

Al mismo tiempo, Twelve Security publicó un segundo ensayo sobre Wyze en Medium que detalla cómo sus servidores estadounidenses no estaban tan protegidos como sus servidores chinos. Cuestionó el período de vulnerabilidad sugerido por Wyze, alegando en cambio que los servidores de EE. UU. eran vulnerables desde que se conectaron en línea en enero. También afirma haber rastreado la infraestructura de canalización de datos de Wyze a través de Alibaba Cloud para que sea lo suficientemente grande como para que la empresa pueda rastrear imágenes en vivo de cada cámara y que Wyze y cualquier persona con conocimiento para hacerlo pueden interceptar cualquiera de esas fuentes. También tomó nota de los comentarios que sugieren que la compañía tiene planes para registrar la ingesta diaria de proteínas y la información sobre la densidad ósea en algún momento.

La compañía aún no ha respondido a las últimas afirmaciones de Twelve Security.

Fuente: Twelve Security (Medio), Wyze

Fuente: Twelve Security (Medio), IPVM, Wyze

Gracias: Andrew, Moshe

Video:

Ir arriba