[English] یکی دیگر از مکمل های آخر هفته. Wyze ارائه دهنده اینترنت اشیاء به سادگی مجبور به پذیرش نشت داده ها شد. تقریباً 2.4 میلیون داده کاربر از روی سرور در اینترنت محافظت نشده است.
ویز کیست؟
(فروشگاه محصولات Wyze ، منبع: 12securance.com)
همه این دستگاه های زیبا ، البته جدید و هوشمند ، نیاز به دسترسی ابری دارند تا مالک نیز بتواند از طریق برنامه به داده ها دسترسی پیدا کند. و صاحبان یک حساب کاربری با داده های دسترسی ایجاد می کنند.
این فقط برای افراد در آمریکای دور اعمال می شود و ما را تحت تأثیر قرار نمی دهد؟ حداقل homeandsmart.de در این مقاله با WazeCam خود پرداخته است. دوربین نظارت با قیمت 30 یورو در دسترس است و یک کاربر آلمانی باید آن را داشته باشد.
نشت داده ها
من قبلاً درمورد توییت زیر از طریق Catalin Cimpanu در آخر هفته اطلاعاتی در مورد نشت داده ها کسب کرده ام.
مصاحبه با نشت سرور ارائه دهنده اینترنت اشیاء
* داده ها برای 2.4 میلیون کاربر که به صورت آنلاین در دسترس هستند
* این نشت 22 روز به طول انجامید (از 4 دسامبر تا 26 دسامبر)
* منبع نشت: Elasticsearch
] * به نظر می رسد که Wyze 9 دقیقه قبل از آن منتشر شد که شرکت امنیتی یافته های خود را منتشر کند https://t.co/6eyA9ZvVc7 pic.twitter.com/ZzfDBZKxWW– Catalin Cimpanu (campuscodi) 29 دسامبر 2019
تأمین کننده 26 دسامبر 2019 بود. اندکی قبل از انتشار سهم محققان امنیتی 12Securance.com یک نشت داده را در سرور پایگاه داده Elasticsearch اعلام کرد – نحوه خواندن در ZDNet. داده ها توسط IPVM تأیید شده است ، که می توانید در اینجا بخوانید. عرضه کننده Wyze 26/27. در دسامبر سال 2019 ، یک نشت داده در این گزارش منتشر شد.
در تاریخ 26 دسامبر ، در ساعت 10:00 ، ما یک گزارش نشت داده ها را دریافت کردیم. ما بلافاصله دسترسی به پایگاه داده را محدود کردیم و تحقیقات را شروع کردیم.
امروز ، ما تأیید می کنیم که برخی از داده های کاربر Wyze به درستی تأمین نشده و از 4 دسامبر تا 26 دسامبر فاش شده اند.
مقدمه: رشد غیرمعمول سریع Wyze برای مقابله با این ، تهیه کننده اخیراً یک پروژه داخلی جدید را آغاز کرده است. این در مورد روش های بهتری برای اندازه گیری معیارهای اصلی تجارت ، مانند فعال سازی دستگاه ، و پیدا کردن اتصالات خراب و غیره است. ارائه دهنده اطلاعات برخی از سرورهای اصلی تولید را کپی کرده و آنها را در یک بانک اطلاعاتی منعطف تر و قابل جستجو تر قرار داده است. این جدول داده جدید هنگامی که در ابتدا ایجاد شد محافظت می شود.
با این حال ، در 4 دسامبر سال 2019 ، یک کارمند Wyze هنگام استفاده از این پایگاه داده اشتباه کرد و تنظیمات امنیتی قبلی برای این داده ها حذف شد. در نتیجه ، این داده ها آزادانه در دسترس بود. Wyze می نویسد که بانکهای اطلاعاتی تولید موجود نیستند ، فقط جداول جدید با داده های استخراج شده است. گذرواژهها و داده های شخصی و مالی کاربران Wyze ذخیره نشده اند.
با این حال ، جداول در دسترس عموم شامل آدرس ایمیل مشتری ، نام دوربین (نام مستعار) ، SSID های Wi-Fi ، اطلاعات دستگاه Wyze و داده های بدن برای تعداد کمی از آزمایش کنندگان بتا و نشانه های محدود مرتبط با ادغام الکسا است. این شامل آدرس های ایمیل اعضای خانواده که به دوربین دسترسی داشتند. جزئیات را می توان در اینجا یافت.
کاشفان پایگاه داده ادعا می کنند که داده های حساس به طور تصادفی در خارج از چین تولید شده اند. حدود 24٪ از داده های موجود مربوط به کاربران در ایالات متحده ، بریتانیا ، امارات متحده عربی ، مصر و برخی مناطق مالزی است. با این حال ، بنیانگذار Wyze ، دانگ شنگ سونگ ، این انتقال اطلاعات را به بستر Alibaba در چین منتقل می کند. صفحه کثیف تاریخ: 7 ماه پیش این پیام منتشر شد که افراد غریبه از طریق دوربین های Wyze به کانال های خصوصی دسترسی دارند (در اینجا اطلاعاتی وجود دارد). گفته می شود که این یک مورد منزوی بود که دوربین صاحبان را تغییر داد و صاحب قبلی هنوز می توانست داده ها را مشاهده کند.
همه بازنشانی های پیشگیرانه
طبق گفته Wyze ، هیچ مدرکی مبنی بر کشف نشانه های API برای IOS و Android وجود ندارد. با این حال ، سازنده تصمیم گرفت که همه این علائم دسترسی را به عنوان احتیاط به روز کند. همه کاربران Wyze برای تولید نشانه های جدید مجبور شده اند دوباره به حساب Wyze خود وارد شوند.
علاوه بر این ، ارائه دهنده کلیه ادغام های شخص ثالث را حذف کرد ، که منجر به ادغام کاربران با الکسا ، دستیار Google و IFTTT برای بازیابی عملکرد این سرویس ها مجبور به اتصال مجدد شدند. به عنوان یک گام دیگر ، تولیدکننده در نظر دارد اقدامات لازم را برای بهبود امنیت دوربین انجام دهد که دوربین های Wyze را در چند روز آینده مجدداً راه اندازی می کند.
