Als je je afvraagt waarom je Wyze stekkers reageert op stem commando ‘ s laatste nacht, het is omdat de smart home leverancier aangemeld iedereen na beschuldigingen van een dubieuze data breach. Details zijn dunne en de kleine is bevestigd, maar als je met behulp Wyze producten, weet nu dat je hebt afgemeld en dat je opnieuw hoeft te configureren Alexa vaardigheden en Google Assistent-integratie.
Wat is er gebeurd? Nou, dat deel dat nog niet helemaal duidelijk. Een anonieme auteur op Twaalf Veiligheid, een veronderstelde security consulting bedrijf in Texas, een artikel publiceerde gisteren het beschrijven van een “massale” data breach voor Wyze smart home producten. De blog post beweert dat Wyze de productie databases werden “geheel overgelaten aan het Internet” en uiteindelijk gelekt veel gevoelige informatie over het bedrijf 2,4 miljoen gebruikers.
Het zogenaamd gelekte informatie omvat de gebruikersnamen en e-mailadressen van mensen die gekocht Wyze camera ‘ s en verbonden ze naar hun huizen. Ook zogenaamd bevat de bijnamen voor deze camera ‘s, e-mail adressen van gebruikers die zich hebben ontvangen gedeelde toegang, netwerk details, zoals WiFi Ssid’ s en subnet-outs, de biometrische gegevens van een subset van gebruikers, en meer. Het is het vermelden waard dat op zijn minst, de wachtwoorden van de gebruiker niet vermeende om een deel van dit lek.
Hier is al het zogenaamd gelekte gegevens:
- Gebruikersnaam en e-mail van degenen die camera ‘ s gekocht en vervolgens verbinding met hen naar hun huis
- 24% van de 2,4 miljoen gebruikers in de EST tijdzone (de rest is verspreid over de overige zones van de VS, Groot-Brittannië, verenigde arabische emiraten, Egypte, en de delen van Maleisië)
- E-mail van een gebruiker ze ooit gedeeld camera-toegang, zoals een familielid
- Lijst van alle camera ‘ s in het huis, de bijnamen voor elke camera, het model en de firmware
- WiFi SSID, het interne subnet lay-out, de laatste op tijd voor camera ‘ s, laatste login tijd van de app, laatste logout tijd van de app
- De API-Tokens voor de toegang tot de account van de gebruiker vanaf ieder iOS-of Android-apparaat
- Alexa Tokens voor 24,000 gebruikers die zich hebben aangesloten Alexa apparaten naar hun Wyze camera
- Lengte, Gewicht, Geslacht, Bot Dichtheid, botmassa, een Dagelijkse Inname van Eiwitten en andere informatie over de gezondheid van een subset van gebruikers
Maar hier is het ding: verder dan een aantal dubieuze screenshots, er is absoluut geen bewijs dat dit waar is.
Wyze heeft gereageerd op deze aantijgingen op een forum op haar website, en het bedrijf zegt dat het zo ver nog niet in staat om te bevestigen dat elke vorm van data-inbreuk. Hoewel het niet kan bevestigen dat er een schending heeft plaatsgevonden, Wyze aangemeld iedereen uit hun rekeningen (in het geval dat de gebruiker lopers werden daadwerkelijk in het gedrang komt als hierboven vermeld). Samen met opnieuw inloggen, je moet het koppelen van integraties voor smart assistenten zoals Google en Alexa. Wyze ook getweaked sommige machtigingen op de databases en is alleen de toegang van bepaalde vertrouwde IP-adressen.
Wyze is ook een poging te communiceren met de auteur van die Twaalf Security blog post en het bedrijf is wachten op een reactie via e-mail, omdat de site het telefoonnummer niet accepteren van binnenkomende oproepen. Dat is slechts een deel van hoe vreemd deze openbaarmaking is. Twaalf Veiligheid heeft slechts drie hele blog posts, waarvan beschuldigt Credit Karma van ad van fraude, terwijl de andere beloften om zich te verdiepen in “China’ s FBI.” Wanneer je op Google de beveiliging bedrijf adres (5052 Rogers Road, San Antonio, TX 78251) het toont alleen maar aan een kruispunt met niets op. Nauwelijks vertrouwenwekkend. De hele zaak is dan twijfelachtig.
Apart, nog een kleine blog genaamd IPVM publiceerde een artikel dat beweert het bewijs van de inbreuk, met inbegrip van screenshots van de gelekte gegevens. Als er echt geweest van een inbreuk, er waren meer verantwoorde manieren om de aanpak van de onthulling—het feit dat de Twaalf Veiligheid besloten om publiek te gaan in plaats van contact met het bedrijf is gewoon onverantwoord. Echt, dit leest als een poging om publiciteit voor Twaalf Veiligheid of een poging om de schade Wyze ‘ s reputatie. Maar nogmaals, dat is speculatie.
En zo ver, Wyze is niet ons enige reden is om te twijfelen aan de transparantie. Voor starters, massa-logging iedereen voelt als erkenning en dat het bedrijf neemt dit serieus, omdat het onvermijdelijk de aandacht te richten op het probleem. Het bedrijf heeft ook snel adres (en controleren) problemen in het verleden. Als er iets, de legitimiteit van deze blog posts is twijfelachtig—niet Wyze reactie of transparantie.
Voor nu, wat we met zekerheid kan zeggen is dat dit ongelukkige timing, zowel voor iedereen die net gekocht en het opzetten van hun nieuwe smart home spullen voor de Kerst, en waarschijnlijk voor de Wyze, die waarschijnlijk werken met een beperkte personeelsbezetting op het gegeven moment dat vakantie vakanties zijn in volle gang.
Bron: Wyze, Twaalf Beveiliging