image

Smarthomefabrikant Wyze lekt data 2,4 miljoen gebruikers

zondag 29 december 2019, 09:59 door Redactie, 10 reacties

Smarthomefabrikant Wyze heeft door een onbeveiligde database de gegevens van 2,4 miljoen gebruikers gelekt. Het gaat om e-mailadressen, namen voor webcams, wifi-namen, gebruiksgegevens, Alexa-tokens van 24.000 mensen die hun Alexa-apparaten aan hun Wyze-camera hadden gekoppeld en lichaamsmetingen van 140 externe bètatesters.

Wyze werd in 2017 opgericht en leverde in eerste instantie alleen ip-camera's. Sindsdien worden ook bewegingssensoren en smart lampen en stekkers aangeboden. In een verklaring stelt de smarthomefabrikant dat het data van de productieservers naar een database had gekopieerd. Deze database was oorspronkelijk beveiligd. Door een fout van een medewerker werden de "beveiligingsprotocollen" verwijderd. Hoe dit precies kon gebeuren wordt nog onderzocht, aldus de verklaring.

De database was sinds 4 december voor iedereen op internet toegankelijk en is ook door een derde partij gevonden. Volgens Wyze zijn er geen aanwijzingen dat er ook API-tokens zijn gestolen, waarmee de Wyze-camera's vanaf een iOS- of Androidtoestel zijn te benaderen. Toch is besloten om alle Wyze-gebruikers uit te loggen. Deze gebruikers moeten opnieuw op hun account inloggen, zodat er een nieuw token wordt gegenereerd.

Ook zijn alle koppelingen met Alexa, Google Assistant en webservice IFTTT verbroken, wat inhoudt dat gebruikers die opnieuw moeten opzetten. Tevens zal Wyze de komende dagen een beveiligingsupdate uitrollen waardoor de camera zal worden herstart.

Reacties (10)
29-12-2019, 10:05 door The FOSS
Veel speculatie; irresponsible disclosure :-(

Separately, another small-time blog called IPVM has published an article claiming proof of the breach, including screenshots of the leaked data. If there has truly been a breach, there were more responsible ways to approach disclosure—the fact that Twelve Security decided to go public instead of contacting the company is just irresponsible. Really, this reads like an attempt at publicity for Twelve Security or an attempt to damage Wyze’s reputation. But again, that’s speculation.

https://www.reviewgeek.com/31092/wyze-forced-a-mass-logout-after-a-sketchy-data-breach-accusation/
29-12-2019, 10:12 door Anoniem
Waarom heeft die fabrikant die data eigenlijk?
29-12-2019, 10:13 door Anoniem
Segmentatie?
29-12-2019, 10:48 door Erik van Straten
Door The FOSS: ... "or an attempt to damage Wyze’s reputation."
Responsible disclosen, onder het tapijt vegen en zoveel mogelijk anderen de schuld geven (in elk geval de boodschapper) is wel een oplossing zeker?

Mijn insteek is dat veroorzakers van dit soort klantenleed, die zich uitsluitend zorgen maken over schade aan hun eigen imago, nog veel te weinig financiële schade leiden als gevolg van dit soort "kan gebeuren, niet ons probleem" (in hun ogen) "incidenten". Er kunnen mij niet genoeg bedrijven met zo'n fuck-the-customer business model over de kop gaan.
29-12-2019, 11:52 door The FOSS - Bijgewerkt: 29-12-2019, 12:50
Door Erik van Straten:
Door The FOSS: ... "or an attempt to damage Wyze’s reputation."
Responsible disclosen, onder het tapijt vegen en zoveel mogelijk anderen de schuld geven (in elk geval de boodschapper) is wel een oplossing zeker?

N.B. die tekst komt niet van Wyze maar van een schrijver voor de reviewgeek website.

Door Erik van Straten: Mijn insteek is dat veroorzakers van dit soort klantenleed, die zich uitsluitend zorgen maken over schade aan hun eigen imago, nog veel te weinig financiële schade leiden als gevolg van dit soort "kan gebeuren, niet ons probleem" (in hun ogen) "incidenten". Er kunnen mij niet genoeg bedrijven met zo'n fuck-the-customer business model over de kop gaan.

Wow! Praten we langs elkaar heen? Irresponsible disclosure zonder de fabrikant een kans te geven er wat aan te doen vind ik eigenlijk altijd verwerpelijk. Dat Wyze ken ik verder niet maar zo te lezen doen ze er alles aan om de schade voor hun klanten te beperken. Zelfs een beveiligingsupdate de komende dagen. (Toch? Of mis ik iets?)
29-12-2019, 12:51 door The FOSS - Bijgewerkt: 29-12-2019, 12:53
Door Anoniem: Segmentatie?

And... world peace!

https://www.youtube.com/watch?v=3st-Hai1y54
29-12-2019, 14:31 door Erik van Straten
Door The FOSS:
Door Erik van Straten:
Door The FOSS: ... "or an attempt to damage Wyze’s reputation."
Responsible disclosen, onder het tapijt vegen en zoveel mogelijk anderen de schuld geven (in elk geval de boodschapper) is wel een oplossing zeker?

N.B. die tekst komt niet van Wyze maar van een schrijver voor de reviewgeek website.
En die schrijver is betrouwbaar, want? Wie weet heeft hij banden met Wyze.

Door The FOSS:
Door Erik van Straten: Mijn insteek is dat veroorzakers van dit soort klantenleed, die zich uitsluitend zorgen maken over schade aan hun eigen imago, nog veel te weinig financiële schade leiden als gevolg van dit soort "kan gebeuren, niet ons probleem" (in hun ogen) "incidenten". Er kunnen mij niet genoeg bedrijven met zo'n fuck-the-customer business model over de kop gaan.

Wow! Praten we langs elkaar heen? Irresponsible disclosure zonder de fabrikant een kans te geven er wat aan te doen vind ik eigenlijk altijd verwerpelijk. Dat Wyze ken ik verder niet maar zo te lezen doen ze er alles aan om de schade voor hun klanten te beperken. Zelfs een beveiligingsupdate de komende dagen. (Toch? Of mis ik iets?)
Waarom moet een derde partij zo'n open database vinden voordat Wyze het zelf ontdekt (of beter: weet te voorkomen door controles/tests door anderen om fouten of slecht betaalde onkunde van een enkele medewerker in de kiem te smoren)? Als je dat nalaat bij zo'n goudmijn aan klantgegevens, ben je gewoon een hufterbedrijf (zoals zovele, met de continue stroom van grote datalekken als gevolg). De kans is groot dat minder loslippige partijen die database allang hebben gekopieerd en verkocht op de zwarte markt.

Daarbij claimt John Honovich van een andere nieuwssite op 26 december, na -naar verluidt- iemand van "Twelve Security" te hebben gesproken, dat hij contact heeft geprobeerd te zoeken met Wyze m.b.t. het lek, maar dat hij geen respons kreeg (https://ipvm.com/reports/wyze-leak).

Ook hem moet je maar op zijn woord geloven, maar als je naar gepubliceerde responsible disclosures kijkt (bijv. op de full disclosure en bugtraq maillijsten), dan duurt het vaak ellenlang voor jouw melding, vaak na aanvankelijke ontkenning, serieus door iemand wordt opgepakt - waarna het gebruikelijk is dat er tig keer om uitstel voor het uitbrengen van een fix wordt gevraagd en er uiteindelijk een halve of helemaal geen oplossing verschijnt.

En exact dat is ook mijn persoonlijke ervaring, bijna zonder uitzondering. Natuurlijk probeer ik eerst responsible disclosure, maar ik ben gestopt met trekken aan dode paarden. Primair is hier weer eens een berg klantgegevens gelekt; wie dat meldt en op welke wijze, en wat het bedrijf daarna aan damage control doet, is bijzaak en moet dat ook zijn. Wat mij betreft blijft het niet bij "an attempt to damage Wyze’s reputation"; als maatschappij moeten we dit soort bedrijven gewoon keihard afstraffen, dan komen de betere (met een fatsoenlijk beveiligingsbeleid) vanzelf bovendrijven.

P.S. het Griekse bedrijf Twelve Sec (https://twelvesec.com/twelvesec/) lijkt helemaal niets met de kennelijke ontdekker (https://blog.12security.com/ die je naar een login prompt stuurt en geen www. website heeft) te maken te hebben.
30-12-2019, 08:33 door The FOSS
Door Erik van Straten:
Door The FOSS:
Door Erik van Straten:
Door The FOSS: ... "or an attempt to damage Wyze’s reputation."
Responsible disclosen, onder het tapijt vegen en zoveel mogelijk anderen de schuld geven (in elk geval de boodschapper) is wel een oplossing zeker?

N.B. die tekst komt niet van Wyze maar van een schrijver voor de reviewgeek website.
En die schrijver is betrouwbaar, want? Wie weet heeft hij banden met Wyze.

Ah, op die manier. Het is allemaal uit tweede hand inderdaad.

Door Erik van Straten:
Door The FOSS:
Door Erik van Straten: Mijn insteek is dat veroorzakers van dit soort klantenleed, die zich uitsluitend zorgen maken over schade aan hun eigen imago, nog veel te weinig financiële schade leiden als gevolg van dit soort "kan gebeuren, niet ons probleem" (in hun ogen) "incidenten". Er kunnen mij niet genoeg bedrijven met zo'n fuck-the-customer business model over de kop gaan.

Wow! Praten we langs elkaar heen? Irresponsible disclosure zonder de fabrikant een kans te geven er wat aan te doen vind ik eigenlijk altijd verwerpelijk. Dat Wyze ken ik verder niet maar zo te lezen doen ze er alles aan om de schade voor hun klanten te beperken. Zelfs een beveiligingsupdate de komende dagen. (Toch? Of mis ik iets?)
Waarom moet een derde partij zo'n open database vinden voordat Wyze het zelf ontdekt (of beter: weet te voorkomen door controles/tests door anderen om fouten of slecht betaalde onkunde van een enkele medewerker in de kiem te smoren)? Als je dat nalaat bij zo'n goudmijn aan klantgegevens, ben je gewoon een hufterbedrijf (zoals zovele, met de continue stroom van grote datalekken als gevolg). De kans is groot dat minder loslippige partijen die database allang hebben gekopieerd en verkocht op de zwarte markt.

Fouten kunnen natuurlijk worden gemaakt. Ik ben wel eens getuige geweest van een totale netwerkcrash omdat iemand in een script per ongeluk bij rm -rf een spatie voor een slash aan het einde van een padnaam had toegevoegd (of zoiets) en het hele bestandssysteem op een server gewist werd. Als er klantgegevens in het spel zijn zou er zorgvuldig(er) mee moeten worden omgesprongen, zeker. Bij al langer bestaande bedrijven zie je echter vaak dat men zich nog niet zo bewust is van de gevaren en er - niet uit kwade wil - enigszins nalatig mee wordt omgesprongen.

Door Erik van Straten: Daarbij claimt John Honovich van een andere nieuwssite op 26 december, na -naar verluidt- iemand van "Twelve Security" te hebben gesproken, dat hij contact heeft geprobeerd te zoeken met Wyze m.b.t. het lek, maar dat hij geen respons kreeg (https://ipvm.com/reports/wyze-leak).

Ook hem moet je maar op zijn woord geloven, maar als je naar gepubliceerde responsible disclosures kijkt (bijv. op de full disclosure en bugtraq maillijsten), dan duurt het vaak ellenlang voor jouw melding, vaak na aanvankelijke ontkenning, serieus door iemand wordt opgepakt - waarna het gebruikelijk is dat er tig keer om uitstel voor het uitbrengen van een fix wordt gevraagd en er uiteindelijk een halve of helemaal geen oplossing verschijnt.

Inderdaad moeilijk te beoordelen van een afstand. Als het zo is gegaan of gaat en er (gevoelige) klantengegevens in het spel zijn dan klinkt 'hufterbedrijven' al minder cru.

Door Erik van Straten: En exact dat is ook mijn persoonlijke ervaring, bijna zonder uitzondering. Natuurlijk probeer ik eerst responsible disclosure, maar ik ben gestopt met trekken aan dode paarden. Primair is hier weer eens een berg klantgegevens gelekt; wie dat meldt en op welke wijze, en wat het bedrijf daarna aan damage control doet, is bijzaak en moet dat ook zijn. Wat mij betreft blijft het niet bij "an attempt to damage Wyze’s reputation"; als maatschappij moeten we dit soort bedrijven gewoon keihard afstraffen, dan komen de betere (met een fatsoenlijk beveiligingsbeleid) vanzelf bovendrijven.

Hoor en wederhoor maar als na onderzoek blijkt dat er sprake is van (bijna criminele) nalatigheid dan zou er kei- en keihard gestraft moeten worden.

Door Erik van Straten: P.S. het Griekse bedrijf Twelve Sec (https://twelvesec.com/twelvesec/) lijkt helemaal niets met de kennelijke ontdekker (https://blog.12security.com/ die je naar een login prompt stuurt en geen www. website heeft) te maken te hebben.

Ik zie het. Beetje in het wilde weg journalistiek in de berichtgeving op internet.
30-12-2019, 15:35 door Anoniem
Elasticsearch op AWS.....

Meerdere fouten gemaakt. Internet toegankelijk en (geen) wachtwoord issues.
Fuckup zoveel van bedrijven die dit "even" implementeren maar eigenlijk gewoon geen (basis) kennis hebben van dit soort implementaties.
Waarom was deze database direct vanaf het Internet toegankelijk. Dit moet altijd achter firewalls hangen en eigenlijk over VPN verbinding toegankelijk zijn. Nooit direct vanaf het Internet. Is ook nergens voor nodig.
Tenzij je goede firewalls neer zet, waarbij wijzingen niet zomaar even geïmplementeerd kunnen worden.

Daarnaast... Geen wachtwoord voor de toegang tot de database? Hoe is dit mogelijk? Zelfs op een Intern netwerk zou dit al nooit mogen.

Fuckups op Fuckups....

Deze kan op de lijst met grootste datalekken toegevoegd worden.
31-12-2019, 10:39 door The FOSS - Bijgewerkt: 31-12-2019, 10:45
Door Anoniem: Elasticsearch op AWS.....

Elasticsearch, je moet het wel kunnen. (Als je niet weet wat je aan het doen bent, blijf er dan alsjeblieft van af!).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.