Wyze drabbad av säkerhetsläcka – känslig kunddata synlig

Tillverkaren Wyze drabbats av en säkerhetsläcka. Enligt säkerhetsbloggen Twelve Security har företagets Elasticsearch-databas varit åtkomlig via internet – och databasen håller en mängd mycket känslig information.

Uppdatering 2019-12-29:
Wyze har bekräftat säkerhetsläckan och att en databas med en större mängd uppgifter varit åtkomlig på internet mellan den 4 och 26 december 2019. I databasen fanns bland annat kundmejl, namn på kunders kameror, WiFi SSID:s, enhetsinformation och mer. Wyze undersöker varför databasen låg åtkomlig.

När Twelve Security rapporterade om säkerhetsläckan och den åtkomliga databasen reagerade tillverkaren Wyze med att logga ut alla användare från sina system. Därefter implementerade Wyze extra säkerhet kring sina databaser för ökat skydd.

Efter att Wyze vidtagit säkerhetsåtgärderna försökte företaget återskapa de steg som Twelve Security rapporterat gjordes för att komma åt databasen; Wyze säger i ett meddelande att de inte lyckades återskapa hela processen och har inte identifierat några bevis på att data läckt ut.

Delar av informationen som var tillgänglig i databasen:
– Detaljer om hemnätverk
– Exakta positioner för kameror i hemmen
– Personlig information om användarna

Enligt säkerhetssajten IPVM finns bevis på att säkerhetsläckan är äkta och att det finns skärmdumpar som bekräftar detta.

Om du har en Wyze-kamera måste du logga in på ditt konto igen och även generera nya 2FA-koder för att skydda dina uppgifter. Om du har kameror som länkats till Alexa, Google Assistant, IFTTT eller någon annan tjänst så måste du återskapa länken.

Wyze säger även att användarna uppmanas ändra sina lösenord snarast för ännu bättre säkerhet.

Eftersom Twelve Security inte rapporterade om säkerhetsläckans omfattning innan Wyze kontaktades så går inte att säga hur stor läckan var. Wyze undersöker just nu det hela, men frågan är om tillverkaren kommer avslöja exakt vad som hänt och hur brett sårbarheten sträckt sig.