WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Hãng sản xuất camera an ninh giá rẻ Wyze làm lộ dữ liệu 2,4 triệu khách hàng
Dữ liệu bị lộ bao gồm địa chỉ email, thông tin SSID và token API của 2,4 triệu khách hàng Wyze, một công ty sản xuất camera an ninh giá rẻ.
Nhà sản xuất camera an ninh Wyze thừa nhận một máy chủ không bảo mật đã làm lộ dữ liệu của 2,4 triệu khách hàng trong 3 tuần. Sự cố được hãng bảo mật Twelve Security phát hiện đầu tiên và công khai vào ngày 26/12.
Trên bài viết đăng trong diễn đàn thông báo vụ việc, đồng sáng lập Wyze, Dongsheng Song, viết rằng máy chủ bị lộ thực chất là “cơ sở dữ liệu linh hoạt” được tạo ra để dữ liệu khách hàng được truy vấn nhanh hơn. Do lỗi của một nhân viên, giao thức bảo mật của máy chủ bị xóa ngày 4/12 và dữ liệu bị lộ tới ngày 26/12 cho đến khi công ty biết vấn đề.
Trong blog, Twelve Security nói máy chủ chứa các thông tin như tên người dùng, địa chỉ email, nickname camera, model thiết bị, thông tin firmware, chi tiết Wi-Fi SSID, token API cho iOS và Android, token Alexa từ người kết nối trợ lý ảo Amazon với camera an ninh của họ. Cơ sở dữ liệu không chứa mật khẩu. Ngoài ra, nó còn bao gồm một loạt thông tin liên quan tới sức khỏe như chiều cao, cân nặng, mật độ xương, lượng protein nạp vào hàng ngày.
Twelve Security còn khẳng định có “dấu hiệu rõ ràng” cho thấy dữ liệu được gửi về máy Alibaba Cloud ở Trung Quốc. Tuy nhiên, Song bác bỏ cáo buộc và nói Wyze không sử dụng Alibaba Cloud. Dù nhân viên và đối tác của Wyze nằm ở Trung Quốc, công ty không chia sẻ dữ liệu người dùng với bất kỳ cơ quan nhà nước nào.
Để tránh xảy ra vấn đề tương tự, Song nói Wyze đã bắt đầu kiểm tra mọi máy chủ, cơ sở dữ liệu và phát hiện ra một cơ sở dữ liệu khác không được bảo vệ. Công ty cũng xem xét lại mọi hướng dẫn bảo mật. Trong thời gian này, người dùng Wyze nên cẩn thận trước các vụ tấn công lừa đảo (phishing).
Wyze cũng đăng xuất mọi tài khoản của người dùng và bỏ liên kết với các bên thứ ba để đóng lỗ hổng bảo mật gây ra bởi token Alexa và API bị xâm phạm. Người dùng bị ảnh hưởng sẽ được Wyze liên hệ và phải đổi mật khẩu. Họ được khuyến khích kích hoạt xác thực hai bước.
Wyze do 3 cựu nhân viên Amazon thành lập, chuyên sản xuất camera có giá chỉ khoảng 20 USD, rẻ hơn nhiều so với các đối thủ. Ngoài ra, Wyze còn có sản phẩm thiết bị nhà thông minh.
Theo ICTnews
Nhà sản xuất camera an ninh Wyze thừa nhận một máy chủ không bảo mật đã làm lộ dữ liệu của 2,4 triệu khách hàng trong 3 tuần. Sự cố được hãng bảo mật Twelve Security phát hiện đầu tiên và công khai vào ngày 26/12.
Trên bài viết đăng trong diễn đàn thông báo vụ việc, đồng sáng lập Wyze, Dongsheng Song, viết rằng máy chủ bị lộ thực chất là “cơ sở dữ liệu linh hoạt” được tạo ra để dữ liệu khách hàng được truy vấn nhanh hơn. Do lỗi của một nhân viên, giao thức bảo mật của máy chủ bị xóa ngày 4/12 và dữ liệu bị lộ tới ngày 26/12 cho đến khi công ty biết vấn đề.
Trong blog, Twelve Security nói máy chủ chứa các thông tin như tên người dùng, địa chỉ email, nickname camera, model thiết bị, thông tin firmware, chi tiết Wi-Fi SSID, token API cho iOS và Android, token Alexa từ người kết nối trợ lý ảo Amazon với camera an ninh của họ. Cơ sở dữ liệu không chứa mật khẩu. Ngoài ra, nó còn bao gồm một loạt thông tin liên quan tới sức khỏe như chiều cao, cân nặng, mật độ xương, lượng protein nạp vào hàng ngày.
Twelve Security còn khẳng định có “dấu hiệu rõ ràng” cho thấy dữ liệu được gửi về máy Alibaba Cloud ở Trung Quốc. Tuy nhiên, Song bác bỏ cáo buộc và nói Wyze không sử dụng Alibaba Cloud. Dù nhân viên và đối tác của Wyze nằm ở Trung Quốc, công ty không chia sẻ dữ liệu người dùng với bất kỳ cơ quan nhà nước nào.
Để tránh xảy ra vấn đề tương tự, Song nói Wyze đã bắt đầu kiểm tra mọi máy chủ, cơ sở dữ liệu và phát hiện ra một cơ sở dữ liệu khác không được bảo vệ. Công ty cũng xem xét lại mọi hướng dẫn bảo mật. Trong thời gian này, người dùng Wyze nên cẩn thận trước các vụ tấn công lừa đảo (phishing).
Wyze cũng đăng xuất mọi tài khoản của người dùng và bỏ liên kết với các bên thứ ba để đóng lỗ hổng bảo mật gây ra bởi token Alexa và API bị xâm phạm. Người dùng bị ảnh hưởng sẽ được Wyze liên hệ và phải đổi mật khẩu. Họ được khuyến khích kích hoạt xác thực hai bước.
Wyze do 3 cựu nhân viên Amazon thành lập, chuyên sản xuất camera có giá chỉ khoảng 20 USD, rẻ hơn nhiều so với các đối thủ. Ngoài ra, Wyze còn có sản phẩm thiết bị nhà thông minh.
Theo ICTnews
Chỉnh sửa lần cuối: