Veel speculatie; irresponsible disclosure :-(

Separately, another small-time blog called IPVM has published an article claiming proof of the breach, including screenshots of the leaked data. If there has truly been a breach, there were more responsible ways to approach disclosure—the fact that Twelve Security decided to go public instead of contacting the company is just irresponsible. Really, this reads like an attempt at publicity for Twelve Security or an attempt to damage Wyze’s reputation. But again, that’s speculation.

https://www.reviewgeek.com/31092/wyze-forced-a-mass-logout-after-a-sketchy-data-breach-accusation/

Waarom heeft die fabrikant die data eigenlijk?

Segmentatie?

Responsible disclosen, onder het tapijt vegen en zoveel mogelijk anderen de schuld geven (in elk geval de boodschapper) is wel een oplossing zeker?

Mijn insteek is dat veroorzakers van dit soort klantenleed, die zich uitsluitend zorgen maken over schade aan hun eigen imago, nog veel te weinig financiële schade leiden als gevolg van dit soort "kan gebeuren, niet ons probleem" (in hun ogen) "incidenten". Er kunnen mij niet genoeg bedrijven met zo'n fuck-the-customer business model over de kop gaan.

N.B. die tekst komt niet van Wyze maar van een schrijver voor de reviewgeek website.


Wow! Praten we langs elkaar heen? Irresponsible disclosure zonder de fabrikant een kans te geven er wat aan te doen vind ik eigenlijk altijd verwerpelijk. Dat Wyze ken ik verder niet maar zo te lezen doen ze er alles aan om de schade voor hun klanten te beperken. Zelfs een beveiligingsupdate de komende dagen. (Toch? Of mis ik iets?)

And... world peace!

https://www.youtube.com/watch?v=3st-Hai1y54

En die schrijver is betrouwbaar, want? Wie weet heeft hij banden met Wyze.

Waarom moet een derde partij zo'n open database vinden voordat Wyze het zelf ontdekt (of beter: weet te voorkomen door controles/tests door anderen om fouten of slecht betaalde onkunde van een enkele medewerker in de kiem te smoren)? Als je dat nalaat bij zo'n goudmijn aan klantgegevens, ben je gewoon een hufterbedrijf (zoals zovele, met de continue stroom van grote datalekken als gevolg). De kans is groot dat minder loslippige partijen die database allang hebben gekopieerd en verkocht op de zwarte markt.

Daarbij claimt John Honovich van een andere nieuwssite op 26 december, na -naar verluidt- iemand van "Twelve Security" te hebben gesproken, dat hij contact heeft geprobeerd te zoeken met Wyze m.b.t. het lek, maar dat hij geen respons kreeg (https://ipvm.com/reports/wyze-leak).

Ook hem moet je maar op zijn woord geloven, maar als je naar gepubliceerde responsible disclosures kijkt (bijv. op de full disclosure en bugtraq maillijsten), dan duurt het vaak ellenlang voor jouw melding, vaak na aanvankelijke ontkenning, serieus door iemand wordt opgepakt - waarna het gebruikelijk is dat er tig keer om uitstel voor het uitbrengen van een fix wordt gevraagd en er uiteindelijk een halve of helemaal geen oplossing verschijnt.

En exact dat is ook mijn persoonlijke ervaring, bijna zonder uitzondering. Natuurlijk probeer ik eerst responsible disclosure, maar ik ben gestopt met trekken aan dode paarden. Primair is hier weer eens een berg klantgegevens gelekt; wie dat meldt en op welke wijze, en wat het bedrijf daarna aan damage control doet, is bijzaak en moet dat ook zijn. Wat mij betreft blijft het niet bij "an attempt to damage Wyze’s reputation"; als maatschappij moeten we dit soort bedrijven gewoon keihard afstraffen, dan komen de betere (met een fatsoenlijk beveiligingsbeleid) vanzelf bovendrijven.

P.S. het Griekse bedrijf Twelve Sec (https://twelvesec.com/twelvesec/) lijkt helemaal niets met de kennelijke ontdekker (https://blog.12security.com/ die je naar een login prompt stuurt en geen www. website heeft) te maken te hebben.

Ah, op die manier. Het is allemaal uit tweede hand inderdaad.


Fouten kunnen natuurlijk worden gemaakt. Ik ben wel eens getuige geweest van een totale netwerkcrash omdat iemand in een script per ongeluk bij rm -rf een spatie voor een slash aan het einde van een padnaam had toegevoegd (of zoiets) en het hele bestandssysteem op een server gewist werd. Als er klantgegevens in het spel zijn zou er zorgvuldig(er) mee moeten worden omgesprongen, zeker. Bij al langer bestaande bedrijven zie je echter vaak dat men zich nog niet zo bewust is van de gevaren en er - niet uit kwade wil - enigszins nalatig mee wordt omgesprongen.


Inderdaad moeilijk te beoordelen van een afstand. Als het zo is gegaan of gaat en er (gevoelige) klantengegevens in het spel zijn dan klinkt 'hufterbedrijven' al minder cru.


Hoor en wederhoor maar als na onderzoek blijkt dat er sprake is van (bijna criminele) nalatigheid dan zou er kei- en keihard gestraft moeten worden.


Ik zie het. Beetje in het wilde weg journalistiek in de berichtgeving op internet.

Elasticsearch op AWS.....

Meerdere fouten gemaakt. Internet toegankelijk en (geen) wachtwoord issues.
Fuckup zoveel van bedrijven die dit "even" implementeren maar eigenlijk gewoon geen (basis) kennis hebben van dit soort implementaties.
Waarom was deze database direct vanaf het Internet toegankelijk. Dit moet altijd achter firewalls hangen en eigenlijk over VPN verbinding toegankelijk zijn. Nooit direct vanaf het Internet. Is ook nergens voor nodig.
Tenzij je goede firewalls neer zet, waarbij wijzingen niet zomaar even geïmplementeerd kunnen worden.

Daarnaast... Geen wachtwoord voor de toegang tot de database? Hoe is dit mogelijk? Zelfs op een Intern netwerk zou dit al nooit mogen.

Fuckups op Fuckups....

Deze kan op de lijst met grootste datalekken toegevoegd worden.

Elasticsearch, je moet het wel kunnen. (Als je niet weet wat je aan het doen bent, blijf er dan alsjeblieft van af!).