Smart-Home-Anbieter Wyze verliert Daten von mehr als 2,4 Millionen Kunden

Wyze Labs, Anbieter von Smart-Home-Produkten wie Überwachungskameras, Glühbirnen, Steckdosen, Bewegungssensoren und Türschlössern, hat Daten von mehr als 2,4 Millionen seiner Nutzer verloren. Die Daten waren laut einem Bericht von Bleeping Computer in einer ungeschützten Datenbank gespeichert, die wiederum mit einem Elasticsearch-Cluster verbunden war, und zwar über einen Zeitraum von drei Wochen.

Das Unternehmen bemerkte die Sicherheitslücke demnach am 26. Dezember, nachdem ein Journalist von IPVM eine Support-Anfrage bei Wyze eingereicht beziehungsweise rund 15 Minuten später einen Artikel über den Vorfall veröffentlicht hatte. Die Datenbank selbst war von der Beratungsfirma Twelve Security entdeckt worden.

Die ungesicherten Daten waren offenbar eine Kopie einer Datenbank, die wiederum einen Teil aller von Nutzern gespeicherten Daten enthielt. Sie wurde erstellt, um Telemetriedaten über Geräteaktivierungen oder gescheiterte Verbindungsversuche zu gewinnen. “ Abfragen wie diese sind aufwendig in Bezug auf Computerressourcen und hätten das Produkterlebnis erheblich beeinträchtigt“, erklärte Dongsheng Song, Mitgründer und Chief Product Officer by Wyze. „Aus diesem Grund haben wir eine separate Datenbank speziell für die Bearbeitung dieser Anfragen eingerichtet.

Anfänglich sei die Datenbank korrekt eingerichtet worden, also mit einer Passwortabfrage. Ein Mitarbeiter habe jedoch am 4. Dezember versehentlich die Sicherheitsprotokolle entfernt. Nach Veröffentlichung des Berichts von IPVM sei die Datenbank sofort abgeschaltet worden, noch bevor man die Vorwürfe geprüft habe.

Dass die Daten von Wyze-Kunden öffentlich verfügbar waren, bestätigte dem Bericht zufolge auch Bob Diachenko von Security Discovery. Er zählte in der Datenbank 1,8 Milliarden Datensätze mit Log-Daten, API-Abfragen und -Ereignissen.

Wyze bestätigte indes, dass unter anderem E-Mail-Adressen und Benutzernamen, WLAN-SSIDs und Informationen über Wyze-Geräte von Kunden kompromittiert wurden. Außerdem waren rund 24.000 Tokens von Alexa-Integrationen und Daten wie Körpergröße, Gewicht und Geschlecht v on einigen Beta-Testern für jedermann einsehbar. In der Datenbank befanden sich außerdem Gesundheitsdaten von rund 140 externen Beta-Testern.

In einigen Details widersprach er zudem den Erkenntnissen von Twelve Security. So soll in der Datenbank weder Finanzdaten von Passwörter gespeichert gewesen sein. Es gebe auch keine Hinweise auf kompromittierte API-Tokens für iOS und Android. Außerdem schicke Wyze keine Daten an Alibaba Cloud. Im Rahmen der Beta-Tests würden außerdem keine Informationen über Knochendichte oder Proteineinnahmen von Testern gesammelt.

Als Sicherheitsvorkehrungen setzte das Unternehmen jedoch alle Anmelde-Tokens seiner Nutzer zurück. Diese müssen sich als Folge beim nächsten Zugriff auf ihr Konto erneut anmelden, und die Integrationen für Alexa, Google Assistant und IFTTT erneuern. Des Weiteren warnt Wyze die Betroffenen vor möglichen Phishing-Angriffen.

WEBINAR

Webinar-Aufzeichnung: Zugangsdaten unter Kontrolle behalten

Sicherheit beginnt bei Identitäten, hört aber nicht dort auf. Wie Identity Management, Active Directory und Privileged Access Management (PAM) zusammenpassen, erfahren Sie in diesem Webinar.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chrome 81 unterstützt Web NFC Standard

Der Browser liest und schreibt NFC-Tags. Chrome 81 blockiert zudem das Laden unverschlüsselter Inhalte bei bestehender HTTPS-Verbindung. Außerdem verlängert auch…

11 Stunden ago

Firefox 75: Mozilla überarbeitet Adressleiste und schließt Sicherheitslücken

Die neue Adressleiste vereinfacht die Suche im Internet. Mozilla verbessert außerdem die Kompatibilität zu falsch konfigurierten HTTPS-Servern. Firefox 75 enthält…

12 Stunden ago

IDC empfiehlt für Private und Hybrid Cloud as-a-Service als Betriebs- und Beschaffungsmodell

Die Cloud hat sich durchgesetzt, allerdings nicht als flächendeckende Public Cloud. Vielmehr entstehen vor allem Infrastrukturen mit einem Private-Cloud-Kern und…

13 Stunden ago

Italienischer E-Mail-Provider gehackt – Täter erbeuten Nachrichten und Dateien

Einer No Name genannten Gruppe fallen mehr als 5 TByte Daten in die Hände. Neben Nachrichten und Anhängen sind auch…

15 Stunden ago

Patchday: Google schließt 69 Sicherheitslücken in Android

13 Anfälligkeiten erhalten die höchste Bewertung "kritisch". Betroffen sind alle unterstützten OS-Versionen von Android 8 bis Android 10. Auch LG…

16 Stunden ago

Über 350.000 Exchange-Server anfällig für Angriffe

Obwohl Microsoft bereits im Februar einen Patch für die Lücke CVE-2020-0688 veröffentlicht hatte, sind aktuell noch über 350.000 Exchange-Server anfällig…

1 Tag ago