La fuga del servidor Wyze expone los datos de los clientes de 2,4 millones de usuarios
Un servidor no seguro expuso los datos de los clientes de Wyze durante un período de tres semanas, según ha admitido el fabricante de cámaras de seguridad inteligentes. La fuga fue descubierta por la empresa de ciberseguridad Twelve Security, que publicó sus conclusiones el 26 de diciembre, mientras que IPVM, un blog centrado en productos de videovigilancia, pudo verificar que sus propios datos se habían visto afectados por la fuga. Según Twelve Security, los datos de alrededor de 2,4 millones de clientes de Wyze se vieron comprometidos.
En una publicación en el foro anunciando la fuga a sus usuarios, el cofundador de Wyze, Dongsheng Song, escribió que el servidor expuesto no era un servidor de producción, sino una «base de datos flexible» que fue creada para permitir que los datos de los clientes fueran consultados más rápidamente. El cofundador dijo que un error de los empleados llevó a que los protocolos de seguridad del servidor fueran eliminados el 4 de diciembre, y los datos quedaron expuestos hasta el 26 de diciembre, cuando la compañía fue informada del problema.
«SIEMPRE NOS HEMOS TOMADO LA SEGURIDAD MUY EN SERIO, Y ESTAMOS DEVASTADOS POR HABER DEFRAUDADO A NUESTROS USUARIOS DE ESTA MANERA»
En su blog sobre la filtración, Twelve Security dijo que el servidor incluía información como nombres de usuario, direcciones de correo electrónico, apodos de cámaras, modelos de dispositivos, información de firmware, detalles de SSID Wi-Fi, tokens de API para iOS y Android, y tokens de Alexa de usuarios que habían conectado el asistente de voz de Amazon con sus cámaras de seguridad. (Wyze dice que la base de datos no incluía las contraseñas de los usuarios). La empresa de ciberseguridad también afirmó que la base de datos incluía una enorme cantidad de información de salud, incluyendo altura, peso, densidad ósea y consumo diario de proteínas. Song confirmó que cierta información de salud estaba presente gracias a una prueba beta de un nuevo producto de báscula inteligente, pero negó que alguna vez hubiera recogido información sobre la densidad ósea y la ingesta diaria de proteínas.
Twelve Security incluso afirmó que existían «claros indicios» de que los datos se estaban enviando a la Nube de Alibaba en China. El post del foro de Song discute esto. Dijo que Wyze no utiliza la Nube de Alibaba, y que aunque tiene empleados y socios fabricantes en China, no comparte los datos de los usuarios con ninguna agencia gubernamental.
En respuesta al fallo de seguridad, Song dice que Wyze ha comenzado a realizar una auditoría de todos sus servidores y bases de datos, y ha descubierto otra base de datos desprotegida. También dijo que la compañía está revisando «todos los aspectos» de sus directrices de seguridad. Mientras tanto, el cofundador dijo que los usuarios de Wyze deben tener cuidado con los ataques de phishing, y que la compañía ha desconectado a todos sus usuarios de sus cuentas y ha desvinculado sus integraciones de terceros para tratar de cerrar la brecha de seguridad causada por la API comprometida y los tokens de Alexa.
La fuga de datos se produce al final de un año difícil para Wyze. La compañía anunció en julio una nueva función de detección de personas potenciada por la IA para sus cámaras de seguridad asequibles, pero la empresa con la que se asoció en noviembre dejó de utilizarla, lo que puso en duda su futuro. El lanzamiento de su servicio de suscripción también tuvo que ser retrasado ese mismo mes debido a «problemas críticos» no especificados.
Song quiso subrayar que los precios del presupuesto de la empresa no significan que se tome la seguridad menos en serio. «A menudo hemos oído a la gente decir: ‘Pagas por lo que recibes’, asumiendo que los productos Wyze son menos seguros porque son más baratos. Esto no es cierto», escribió el cofundador. «Siempre nos hemos tomado la seguridad muy en serio, y estamos devastados por haber defraudado a nuestros usuarios de esta manera».