Smart-Home-Anbieter Wyze verliert Daten von mehr als 2,4 Millionen Kunden

Wyze Labs, Anbieter von Smart-Home-Produkten wie Überwachungskameras, Glühbirnen, Steckdosen, Bewegungssensoren und Türschlössern, hat Daten von mehr als 2,4 Millionen seiner Nutzer verloren. Die Daten waren laut einem Bericht von Bleeping Computer in einer ungeschützten Datenbank gespeichert, die wiederum mit einem Elasticsearch-Cluster verbunden war, und zwar über einen Zeitraum von drei Wochen.

Das Unternehmen bemerkte die Sicherheitslücke demnach am 26. Dezember, nachdem ein Journalist von IPVM eine Support-Anfrage bei Wyze eingereicht beziehungsweise rund 15 Minuten später einen Artikel über den Vorfall veröffentlicht hatte. Die Datenbank selbst war von der Beratungsfirma Twelve Security entdeckt worden.

Die ungesicherten Daten waren offenbar eine Kopie einer Datenbank, die wiederum einen Teil aller von Nutzern gespeicherten Daten enthielt. Sie wurde erstellt, um Telemetriedaten über Geräteaktivierungen oder gescheiterte Verbindungsversuche zu gewinnen. “ Abfragen wie diese sind aufwendig in Bezug auf Computerressourcen und hätten das Produkterlebnis erheblich beeinträchtigt“, erklärte Dongsheng Song, Mitgründer und Chief Product Officer by Wyze. „Aus diesem Grund haben wir eine separate Datenbank speziell für die Bearbeitung dieser Anfragen eingerichtet.

Anfänglich sei die Datenbank korrekt eingerichtet worden, also mit einer Passwortabfrage. Ein Mitarbeiter habe jedoch am 4. Dezember versehentlich die Sicherheitsprotokolle entfernt. Nach Veröffentlichung des Berichts von IPVM sei die Datenbank sofort abgeschaltet worden, noch bevor man die Vorwürfe geprüft habe.

Dass die Daten von Wyze-Kunden öffentlich verfügbar waren, bestätigte dem Bericht zufolge auch Bob Diachenko von Security Discovery. Er zählte in der Datenbank 1,8 Milliarden Datensätze mit Log-Daten, API-Abfragen und -Ereignissen.

Wyze bestätigte indes, dass unter anderem E-Mail-Adressen und Benutzernamen, WLAN-SSIDs und Informationen über Wyze-Geräte von Kunden kompromittiert wurden. Außerdem waren rund 24.000 Tokens von Alexa-Integrationen und Daten wie Körpergröße, Gewicht und Geschlecht v on einigen Beta-Testern für jedermann einsehbar. In der Datenbank befanden sich außerdem Gesundheitsdaten von rund 140 externen Beta-Testern.

In einigen Details widersprach er zudem den Erkenntnissen von Twelve Security. So soll in der Datenbank weder Finanzdaten von Passwörter gespeichert gewesen sein. Es gebe auch keine Hinweise auf kompromittierte API-Tokens für iOS und Android. Außerdem schicke Wyze keine Daten an Alibaba Cloud. Im Rahmen der Beta-Tests würden außerdem keine Informationen über Knochendichte oder Proteineinnahmen von Testern gesammelt.

Als Sicherheitsvorkehrungen setzte das Unternehmen jedoch alle Anmelde-Tokens seiner Nutzer zurück. Diese müssen sich als Folge beim nächsten Zugriff auf ihr Konto erneut anmelden, und die Integrationen für Alexa, Google Assistant und IFTTT erneuern. Des Weiteren warnt Wyze die Betroffenen vor möglichen Phishing-Angriffen.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Schwachstellen in AWS Glue und AWS Cloud Formation entdeckt

Das Orca Security Research Team hat Sicherheitslücken im Amazon Web Services AWS Glue-Service sowie zur…

2 Tagen ago

Hintergrund zum Tesla-Hack

Ein 19-jähriger IT-Spezialist aus Deutschland wandte sich Tesla mit der Angabe, er habe sich in…

2 Tagen ago

Remote-Access-Trojaner verbreiten sich über Microsoft Azure und AWS

Cyberkriminelle setzten statt auf eigene Infrastruktur auf die Public Cloud. Die aktuelle Kampagne läuft seit…

3 Tagen ago

Firefox 96 verbessert Effizienz des Haupt-Browserprozesses

Davon profitieren ältere Desktop-Systeme mit geringen Ressourcen. Das Update verbessert aber auch die Verarbeitung von…

3 Tagen ago

RealWear Navigator 500: Datenbrille für Industriearbeiter und Servicetechniker

Die Industriedatenbrille RealWear Navigator 500 soll Industrieunternehmen helfen, die Einführung von Zusammenarbeit, Workflows und KI-Apps…

3 Tagen ago

SOCs für den Mittelstand

Managed Service Provider, die auf Managed Detection and Response sowie externe Experten aus dem Security…

3 Tagen ago