Lo último:
Seguridad

Base de datos expuesta de Wyze, empresa de IoT especializada en cámaras IP

Gustavo Genez

El fabricante de cámaras de seguridad y dispositivos inteligentes para el hogar Wyze Labs, ha confirmado que debido a un error de configuración se ha expuesto una base de datos que contiene información de 2.4 millones de usuarios.

En los últimos años ha aumentado exponencialmente la venta de cámaras de seguridad de la marca Wyze, ya que la compañía ofrece una relación de precios extremadamente bajos, una fuerte campaña de marketing en US, y la experiencia previa en el sector de la mano de sus fundadores, antiguos trabajadores de Amazon.

La empresa Twelve Security encontró una base de datos Elasticsearch pública con 2.4 millones de datos de usuarios expuestos, cuyo acceso estuvo disponible sin protección durante 3 semanas, y que se cerró en el momento en que se publicó el primer post que explicaba el suceso.

La base de datos expuesta contenía una gran cantidad de información, tanto personal como referente a productos en la misma red donde estaba conectada la cámara:

  • Nombre de usuario y email de quien compró cámaras y luego los conectó en su hogar.
  • Email de cualquier usuario con el que se haya compartido el acceso a la cámara, como algún miembro de la familia por ejemplo
  • Lista de todas las cámaras en la misma red , con sus respectivos nombres, modelos y firmware.
  • SSID de la conexión Wi-Fi, información de la red interna, fecha de último inicio de sesión y cierre de sesión desde la app
  • API Tokens para acceder a la cuenta del usuario desde cualquier dispositivo iOS o android
  • Tokens de Alexa de 24.000 usuarios que han conectado sus cámaras Wyzer con el dispositivo Alexa.
  • Altura, peso, sexo, densidad ósea, masa ósea, ingesta diaria de proteínas y otra información de salud para un subconjunto de usuarios.

Por el momento Wyze no ha confirmado el número de usuarios afectados. El cofundador Dongsheng Song explica en el foro de la compañía, que copiaron algunos datos de las bases de datos en producción a una base de datos más flexible y originalmente estaban protegidos, pero una negligencia de uno de los empleados el día 4 de diciembre dejó abiertas las bases de datos al público.

Por otro lado, indican que no hay contraseñas ni información bancaria de los usuarios afectados en los datos expuestos.

Existe un hilo de FAQS habilitado en el foro de la compañía, donde se explican dudas y se resuelven cuestiones que les surjan a los

Más información

12security.com
https://blog.12security.com/wyze/
https://blog.12security.com/wyze-essay-2-aresflare/

ipvm.com
https://ipvm.com/reports/wyze-leak

forums.wyzecam.com
https://forums.wyzecam.com/t/updated-12-30-19-data-leak-12-26-2019/79046

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Top 10 tweaks que no puedes perderte para este verano (Parte II de II)

Gustavo Genez

Burpsuite for Pentester: Logger++

Gustavo Genez

Bugs en la Implementación OAuth de ChatGPT

Gustavo Genez