Smart-Home-Geräteanbieter Wyze räumt Schwachstelle ein

Daten von rund 2,4 Millionen Anwendern waren aufgrund einer inzwischen gestopften Server-Lücke für 22 Tage online frei zugänglich.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 7 Beiträge
Smart-Home-Geräteanbieter Wyze räumt Schwachstelle ein
Von
  • Matthias Parbel

Im Rahmen eines Blogbeitrags räumte Dongsheng Song, Mitgründer von Wyze, einem Anbieter von Smart-Home-Equipment, am 27. Dezember 2019 ein Datenleck auf den Servern des Unternehmens ein. Persönliche Informationen von bis zu 2,4 Millionen Anwendern sollen für etwa 22 Tage online frei zugänglich gewesen sein, wie die Entdecker der Lücke, das Cyber-Security-Beratungsunternehmen Twelve Security und Autoren des Videoüberwachungs-Blog IPVM, berichteten.

Song zufolge sei ein am 4. Dezember neu in Betrieb genommenes Datenbanksystem betroffen gewesen. Der Hersteller von IoT-Geräten wie Überwachungskameras, smarten Steckdosen, Leuchten und Türschlössern wollte auf Basis einer neuen Elasticsearch-Installation erweiterte Metriken beispielsweise zu Geräteaktivierungen und Übertragungsprotokollen erfassen und analysieren, um den Kundensupport verbessern zu können.

Bei der Konfiguration des Projektes seien nach Songs Aussage aber offenbar Fehler passiert, die einen Zugriff auf die aus der Produktionsdatenbank überspielten Daten zuließen: "Die neue Datentabelle war bei ihrer Erstellung geschützt. Am 4. Dezember wurde jedoch von einem Mitarbeiter von Wyze bei der Verwendung dieser Datenbank ein Fehler gemacht und die bisherigen Sicherheitsprotokolle für diese Daten wurden entfernt. Wir untersuchen diesen Vorfall noch immer, um herauszufinden, warum und wie es dazu kam."

Der Wyze-Mitgründer bestätigte darüber hinaus, dass persönliche Kundendaten wie E-Mail-Adressen, SSID-Identifier für WLANs und Nicknames für Überwachungskameras durch das Datenleck offengelegt wurden. Im Fall von rund 24.000 Anwendern wurden zudem Alexa Tokens veröffentlicht, die zur Verbindung von Wyze- mit Alexa-Geräten dienen. Song widersprach hingegen Berichten von Twelve Security und IPVM, dass auch Wyze API Tokens offengelegt worden seien, mit denen Hacker über iOS oder Android Zugriff auf Wyze-Accounts erhalten könnten. Ebenso wenig sende Wyze Kundendaten an Alibaba-Cloud-Server in China, betonte Song.

Im Hinblick auf die Gesundheitsdaten von etwa 140 Betatestern einer neuen smarten Waage habe Wyze offenbar persönliche Daten wie Geschlecht, Größe und Gewicht der Kunden erfasst, spezifischere Informationen wie die Knochendichte oder die tägliche Aufnahme von Proteinen zählten Song zufolge aber nicht dazu: "Wir haben nie die Knochendichte und die tägliche Proteinzufuhr erhoben. Wir wünschten, unsere Waage wäre so cool."

Wyze habe die Lücke im Elasticsearch-System inzwischen geschlossen. Zum Schutz der Kunden seinen zudem sämtliche Accounts zwangsweise ausgeloggt und die Integrationen von Drittanbieter-Apps gekappt worden. Alle Kunden müssen sich dadurch neu anmelden, sodass neue Wyze API Tokens sowie gegebenenfalls neue Alexa Tokens erstellt werden. (map)