Om du undrar varför din Wyze pluggar slutade svara på röstkommandon i natt, det är för smarta hem leverantör inloggad alla ut efter anklagelser om en tvivelaktig dataintrång. Detaljer är tunna och lite har bekräftats, men om du använder Wyze produkter, vet nu att du har varit inloggad och att du måste konfigurera om Alexa kompetens och Google Assistant integration.
Vad hände? Jo, att en del fortfarande inte är helt klart. En anonym författare på Tolv Säkerhet, en tänkt säkerhet konsultföretag i Texas, publicerade en artikel i går som beskriver en “massiv” dataintrång för Wyze smarta hem-produkter. Blogginlägg hävdar att wyzes produktion databaser var “helt och hållet öppen för Internet” och i slutändan läckt ut massor av känslig information om bolagets 2,4 miljoner användare.
Den som påstås ha läckt information innehåller användarnamn och e-postadresser av folk som köpt Wyze kameror och kopplade dem till sina hem. Det är också förmodligen innehåller smeknamn för dessa kameror, e-post adresser för användare som har fått delad access, network information såsom WiFi Ssid: er och subnät layouter, biometriska data från en grupp av användare, och mer. Det är värt att nämna att åtminstone användarlösenord inte påstås vara en del av denna läcka.
Här är alla förmodligen läckt uppgifter:
- Användarnamn och e-post för dem som köpt kameror och sedan ansluta dem till deras hem
- 24% av de 2,4 miljoner användare i EST tidszon (resten är spridda över de resterande områden av USA, Storbritannien, förenade ARABEMIRATEN, Egypten, och delar av Malaysia)
- E-post för alla användare som de någonsin delade kameran tillgång med till exempel en familjemedlem
- Lista över alla kameror i hemmet, smeknamn för varje kamera, enhetens modell och firmware
- Wi-fi SSID, intern subnet layout, sista gången för kameror, senaste inloggning tid från app förra logout time från app
- API-Tokens för att få tillgång till användarens konto från en iOS-eller Android-enhet
- Alexa Polletter för 24 000 användare som har anslutit Alexa enheter till deras Wyze kamera
- Längd, Vikt, Kön, bentäthet, Benmassa, Dagliga Intag av Protein, och andra hälso-information för en grupp av användare
Men här är grejen: bortom vissa tvivelaktiga skärmdumpar, det finns absolut inga bevis för att något av detta är sant.
Wyze har bemött dessa påståenden i ett inlägg i ett forum på sin hemsida, och företaget säger att hittills har det inte kunnat bekräfta någon form av dataintrång. Trots att det inte kan bekräfta att en överträdelse har skett, Wyze inloggad alla ur sina konton (om användaren polletter var faktiskt äventyras som nämnts ovan). Tillsammans med att logga in, måste du länka integrationer för smarta hjälpmedel som Google och Alexa. Wyze också fixade lite behörigheter på sina databaser och är endast tillåter access från vissa IP-adresser i vitlistan.
Wyze är också att försöka kommunicera med författaren till den Tolv Säkerhet blogginlägg och bolaget väntar på ett svar via e-post eftersom webbplatsen telefonnummer inte acceptera inkommande samtal. Det är bara en del av hur märkligt det utlämnandet har varit. Tolv Säkerhet har bara tre hela blogginlägg, av vilka den ena anklagar Kredit Karma av annonsen bedrägeri, medan den andra lovar att gräva i “Kinas FBI.” När du Google bevakningsföretag adress (5052 Rogers Road, San Antonio, TX 78251) det visar bara en korsning med ingenting på det. Knappast förtroendeingivande. Det hela är bortom tveksamt.
Separat, en annan liten tid blogg som heter IPVM har publicerat en artikel som påstår bevis för överträdelsen, inklusive skärmdumpar av de läckta uppgifterna. Om det har verkligen varit en strid, det var mer ansvarsfullt sätt att närma avslöjande—det faktum att Tolv Säkerhet bestämde mig för att gå istället för att kontakta företag är bara oansvarigt. Verkligen, det här ser ut som ett försök till publicitet för Tolv Säkerhet eller ett försök att skada wyzes rykte. Men återigen, det är spekulation.
Och så långt, Wyze har inte gett oss någon anledning att tvivla på dess öppenhet. Till att börja med, massa-loggning alla där känns som bekräftelse och att företag tar detta på allvar eftersom det oundvikligen kommer att dra folks uppmärksamhet till frågan. Företaget har också varit snabba med att ta itu med (och kontrollera) frågor i det förflutna. Om något legitimiteten i dessa blogginlägg är tveksamt—inte wyzes svar eller insyn.
För nu, vad kan vi säga säkert är att detta är olyckligt timing, både för alla som precis har köpt och satt upp sina nya smarta hem redskap för Jul, och förmodligen för Wyze, som sannolikt kommer att arbeta med begränsad personal just nu med tanke på att semester är i full gång.
Källa: Wyze, Tolv Säkerhet