Gegevens van 2,4 miljoen Wyze Labs-gebruikers waren drie weken toegankelijk

Door een beveiligingslek bij smarthomefabrikant Wyze Labs waren de gegevens van ruim 2,4 miljoen gebruikers drie weken lang toegankelijk voor onbevoegden. De gegevens zaten in een onbeveiligde database die gekoppeld was aan een Elasticsearch-cluster.

Het Amerikaanse Wyze Labs bevestigde het datalek, dat duurde van 4 tot 26 december, zelf via een forumpost. Het lek werd op tweede kerstdag ontdekt door beveiligingsbedrijf Twelve Security. Volgens dit bedrijf waren in de desbetreffende periode van drie weken tal van gegevens van ruim 2,4 miljoen gebruikers compleet onafgeschermd. Er zijn geen aanwijzingen dat de data ook daadwerkelijk misbruikt zijn.

Het ging onder meer om de gebruikersnamen en mailadressen van bezitters van een slimme camera van Wyze, de mailadressen van alle mensen waarmee de camera’s werden gedeeld, lijsten van alle camera’s in huis – compleet met bijnamen, het model en de firmwareversie, ssid’s van wifi-netwerken, en Alexa-tokens voor zo’n 24.000 personen die hun Wyze-camera met de spraakassistent van Amazon hadden verbonden.

Van een kleinere groep gebruikers waren volgens Twelve Security bovendien ook allerlei gezondheidsgegevens toegankelijk, zoals lengte, gewicht, geslacht en botmassa. Volgens ZDnet zouden die afkomstig zijn van een kleine groep gebruikers die een nog niet eerder uitgebrachte verbonden weegschaal testten. Het viel het beveiligingsbedrijf op dat er ‘toevalligerwijs’ geen gegevens van gebruikers in China zijn gelekt. Ongeveer een kwart van de gedupeerden woont in de Eastern Standard Time-tijdzone. Verder trof het lek vooral gebruikers in de VS, het Verenigd Koninkrijk, de Verenigde Arabische Emiraten, Egypte en delen van Maleisië. Wachtwoorden en financiële gegevens van gebruikers zouden niet zijn gelekt.

Twelve Security zegt verder duidelijke indicaties te hebben dat de data zijn teruggestuurd naar de Alibaba Cloud in China. Ook stelt het beveiligingsbedrijf dat er zes maanden geleden al een vergelijkbaar lek is geweest bij Wyze. Het beveiligingsbedrijf heeft Wyze mede om die reden niet gewaarschuwd voor het zijn bevindingen openbaarde. "Of het nu gaat om opzettelijke spionage of om grove nalatigheid, het betreft een kwalijke actie die nader moet worden onderzocht door de Amerikaanse autoriteiten", schrijft het bedrijf.

In een forumpost bestrijdt de mede-oprichter en chief product officer van Wyze, Dongsheng Song, het bericht dat er data naar de Alibaba Cloud zouden worden gestuurd. Ook ontkent hij dat het bedrijf een half jaar geleden te kampen had met een gelijkaardig beveiligingslek. Song zegt verder dat het bedrijf maatregelen heeft genomen om de database opnieuw af te schermen voor onbevoegden. Als een gevolg hiervan moeten Wyze-gebruikers, de eerstvolgende keer dat ze met hun producten aan de slag gaan, zich opnieuw aanmelden en eventueel ook de koppelingen herstellen met Alexa, Google Assistent en IFTTT-diensten.

Door Michel van der Ven

Nieuwsredacteur

Feedback • 30-12-2019 11:29
28 • submitter: TheVivaldi

30-12-2019 • 11:29

28

Submitter: TheVivaldi

Lees meer

Kleine groep Wyze-gebruikers kon voorvertoning van andermans camerabeelden zien
Kleine groep Wyze-gebruikers kon voorvertoning van andermans camerabeelden zien Nieuws van 18 februari 2024
Enkele Wyze-gebruikers konden korte tijd camerafeed van andere gebruikers zien
Enkele Wyze-gebruikers konden korte tijd camerafeed van andere gebruikers zien Nieuws van 9 september 2023
Wyze kondigt 20 dollar kostende smartwatch aan
Wyze kondigt 20 dollar kostende smartwatch aan Nieuws van 1 december 2020
Vpn-dienst zette plaintext wachtwoorden in onbeveiligde Elasticsearch-database
Vpn-dienst zette plaintext wachtwoorden in onbeveiligde Elasticsearch-database Nieuws van 17 juli 2020
Thaise telco laat 3,3 miljard dns-queries via ElasticSearch-database uitlekken
Thaise telco laat 3,3 miljard dns-queries via ElasticSearch-database uitlekken Nieuws van 25 mei 2020
'Database met telefoonnummers van 267 miljoen Facebook-gebruikers stond online'
'Database met telefoonnummers van 267 miljoen Facebook-gebruikers stond online' Nieuws van 20 december 2019
Onderzoekers vinden database met profielen en info van 1,2 miljard gebruikers
Onderzoekers vinden database met profielen en info van 1,2 miljard gebruikers Nieuws van 22 november 2019
Onderzoekers vinden openbare database met miljoenen vingerafdrukken op internet
Onderzoekers vinden openbare database met miljoenen vingerafdrukken op internet Nieuws van 14 augustus 2019
Meer producten en artikelen
Beveiliging en antivirus Smarthome Wyze Labs

Reacties (28)

-Moderatie-faq
28
28
12
2
0
10
Wijzig sortering
Bor Coördinator Frontpage Admins / FP Powermod
30 december 2019 11:50
Deze camera's draaien ook in Nederland en bij diverse Tweakers. Er is o.a. een topic over deze camera's te vinden op het forum: Iemand enthousiast over de Wyzecam?

Gebruikers hebben vooralsnog geen e-mail notificatie ontvangen lijkt het. Ook lijkt men niet helemaal te weten wat er precies is gelekt volgens de laatste update:
12-29-19 update

Hello everyone,

We wanted to give you all an update on the ongoing investigation into the data leak that was reported on 12/26/19.

We have been auditing all of our servers and databases since then and have discovered an additional database that was left unprotected. This was not a production database and we can confirm that passwords and personal financial data were not included in this database. We are still working through what additional information was leaked as well as the circumstances that caused that leak. We want to thank the Wyze community member who contacted us privately about this shortly after our 12/27 update. Their assistance helped us address this vulnerability quickly that evening.

We are working on an email notification to all affected customers and plan to release it in the near future. To balance thoroughness and speed, we will be sending the information that we have on hand and will provide further updates as we continue forward with our investigation.

[Reactie gewijzigd door Bor op 23 juli 2024 17:27]

Blokker_1999
@Bor30 december 2019 12:18
Heb er zelf ook 6 in gebruik. Voor de prijs moet je het niet laten, alleen oppassen waar je ze zet. Maar als ze inderdaad 2x op een half jaar een gegevenslek hebben en zelf nalaten gebruikers in te lichten dan begin ik wel stilaan na te denken om toch maar op zoek te gaan naar ofwel alternatieve firmware waarmee ik er enkel RTSP uit krijg (en dan eigen software kan voorzien) danwel ze helemaal weg te gooien.
z1rconium @Blokker_199930 december 2019 13:15
Eerste wat ik heb gedaan is de dafang hack, werkt top.
telenut @z1rconium31 december 2019 09:57
dan kan je toch beter de xiaomi versie kopen. exact zelfde hardware, helft van de prijs.
z1rconium @telenut31 december 2019 10:08
De helft? Ze kosten €25, waar vind je ze voor 12?
telenut @z1rconium31 december 2019 10:32
Als je er zelf om vliegt naar Amerika :)
Maar je hebt een punt, ze verkopen ze niet aan het dubbele van de prijs. Enkel kost het u wel het dubbele om ze tot bij u thuis te krijgen dus. ( ik kocht via amazon)

[Reactie gewijzigd door telenut op 23 juli 2024 17:27]

slm @Bor31 december 2019 11:21
Zojuist een mail van Wyze over dit lek gekregen:
Wyze Users,

There is nothing we value higher than trust from our users. In fact, our entire business model is dependent on building long-term trust with customers that keep coming back.

We are reaching out to you because we’ve made a mistake in violation of that trust. On December 26th, we discovered information in some of our non-production databases was mistakenly made public between December 4th - December 26th. During this time, the databases were accessed by an unauthorized party.

The information did not contain passwords, personal financial data, or video content.

The information did contain Wyze nicknames, user emails, profile photos, WiFi router names, a limited number of Alexa integration tokens, and other information detailed in the link below.

If you were a user with us before we secured this information on December 26th, we regretfully write this email as a notification that some of your information was included in these databases. If you are receiving this email and joined us after December 26th, we write this email because you use our products and deserve to know how your data is being handled.

Upon finding out about the public user data, we took immediate action to secure it by closing any databases in question, forcing all users to log in again to create new access tokens, and requiring users to reconnect Alexa, Google Assistant, and IFTTT integrations. You can read in more detail about the data leak and the actions we took at this link:

https://forums.wyzecam.co...0-19-data-leak-12-26-2019

As an additional security measure, we recommend that you reset your Wyze account password. Again, no passwords were compromised, but we recommend this as a standard safety measure. You may also add an additional level of security to your account by implementing two-factor authentication inside of the Wyze app. Finally, please be watchful for any phishing attempts. Especially watch any communications coming from Wyze and ensure they come from official @wyze.com and @wyzecam.com email addresses.

We are deeply sorry for this oversight. We promise to learn from this mistake and will make improvements going forward. This will include enhancing our security processes, improving communication of security guidelines to all Wyze employees, and making more of our user-requested security features our top priority in the coming months. We are also partnering with a third-party cyber security firm to audit and improve our security protocols.

As we continue our investigation into what happened, we will post future updates to the forum link above. More details will follow and we appreciate your patience during this process. Please reach out with any questions or concerns to our customer support team by going to support.wyze.com.

Sincerely,
Yun Zhang
CEO @ Wyze
Bor Coördinator Frontpage Admins / FP Powermod
30 december 2019 11:55
Wat dit artikel niet vermeld is dat men uit voorzorg ook de API tokens voor iOS en Android heeft gewijzigd.
There is no evidence that API tokens for iOS and Android were exposed, but we decided to refresh them as we started our investigation as a precautionary measure. Yesterday evening, we forced all Wyze users to log back into their Wyze account to generate new tokens. We also unlinked all 3rd party integrations which caused users to relink integrations with Alexa, The Google Assistant, and IFTTT to regain functionality of these services. As an additional step, we are taking action to improve camera security which will cause your camera to reboot in the coming days.
EdwinHamers 30 december 2019 11:34
De gegevens zaten in een onbeveiligde database die gekoppeld was aan een Elasticsearch-cluster.

Is dat nu zo moeilijk om een database te beveiligen op een Elastic cluster? (Is dat niet AWS?)
Er zijn de laatste tijd erg veel databases die 'open' staan op een AWS/Elastic service. Miss tijd dat de beveiliging afgedwongen wordt? (maar een professional moet dit toch snappen?)
Capital_G @EdwinHamers30 december 2019 11:47
Elasticsearch staat los van AWS, je kan overal redelijk simpel een cluster opzetten.

De reden dat deze clusters vaak open staan is omdat je voor basic beveiliging moet betalen (dat is onderdeel van X-Pack). De poort is ook bijna altijd hetzelfde, dus het is ook nog eens kinderlijk simpel om een cluster te vinden.

Een nadenkende administrator zal de poorten niet zomaar open zetten voor het internet. Helaas denkt niet altijd iedereen na.

Edit: Kennelijk is RBAC al enige maanden onderdeel van het gratis aanbod.

[Reactie gewijzigd door Capital_G op 23 juli 2024 17:27]

Schuurdeur @Capital_G30 december 2019 11:56
Voor de basic security features (wachtwoord authenticatie en SSL) hoef je niet te betalen dat valt onder het 'basic' plan die je gewoon gratis krijgt.

Ik heb thuis een cluster draaien voor de leer en heb gewoon SSL en Authenticatie.

Zie ook:
https://www.elastic.co/subscriptions
sfstar @Capital_G30 december 2019 11:58
Elastic heeft al een tijd geleden een gedeelte van de x-pack security stack onderdeel gemaakt van de basic (free) licentie.
https://www.elastic.co/bl...elasticsearch-is-now-free
Het gaat hierbij om role based access control (oftewel lokale accounts in elasticsearch).
Voor andere authenticatie methodieken (zoals ad-integratie) moet men wel een betaalde licentie afnemen.

Aangezien het gebruik van RBAC in elasticsearch gratis is kan ik er ook niet goed bij waarom ze dit niet hebben ingeschakeld.
Dit lijkt mij gewoon een geval van nalatigheid bij de beheerders die dit op hebben gezet.
jurroen @Capital_G30 december 2019 17:00
Een van de eerste zaken die je als nadenkende admin moet doen is een firewall installeren en minimaal de policy voor inbound verkeer op drop zetten. Vanaf dat moment kun je poorten die nodig zijn open zetten.

Zelf doe ik het graag voor zowel inbound als outbound verkeer en dan ook nog op IP basis (waar mogelijk). Ik snap dat zo'n beleid voor velen wat te complex kan zijn.

De meest basale versie voor Linux gebruikers:
  • apt install ufw/yum install ufw/pacman -Syyu ufw
  • ufw allow ssh/ufw allow [poort]/tcp*
  • ufw default deny incoming
  • ufw enable
  • systemctl enable ufw
Er zijn wat distro-afhankelijke defaults en het is discutabel of ufw de beste keuze is - maar het gaat erom hoe makkelijk het is :) Geen reden om het niet te doen.

*= de eerste optie als je ssh op de standaard poort hebt, tweede optie voor een andere poort.

[Reactie gewijzigd door jurroen op 23 juli 2024 17:27]

Illegal_Alien @EdwinHamers30 december 2019 11:48
https://www.elastic.co/what-is/elasticsearch

Als ik de website mag geloven is er OOK een AWS + GCP variant EN Alibaba. Of je eigen smaak/gif.
What are the options for deploying Elasticsearch?
Elasticsearch can be deployed as a hosted, managed service through Elasticsearch Service (available on Amazon Web Services (AWS), Google Cloud Platform (GCP), and Alibaba Cloud), or you can download and install it on your own hardware or in the cloud. The Elasticsearch documentation provides instructions for downloading, installing, and configuring Elasticsearch.

For users who want to provision, manage, and monitor their deployments from a single console but prefer not to use a public cloud platform, Elastic also offers Elastic Cloud Enterprise (which can be deployed on public or private clouds, virtual machines, or bare metal hardware) as well as a Private subscription tier.
Plus (wat vaak ook niet meehelpt met security.)
Is Elasticsearch free?
Yes, the open source features of Elasticsearch are free to use under the Apache 2 license. Additional free features are available under the Elastic license, and paid subscriptions provide access to support as well as advanced features such as alerting and machine learning.

[Reactie gewijzigd door Illegal_Alien op 23 juli 2024 17:27]

jdh009 @EdwinHamers30 december 2019 11:52
Wat ik niet snap is dat ze geen periodieke audits uitvoeren op dit gebied, dit zou je moeten afdwingen. Je zou verwachten dat ze naast interne tests geregeld een externe partij inhuren en die controles laten uitvoeren. Of is Twelve Security de extern ingehuurde partij? Daar lijkt het uit het artikel niet op.
WillySis @jdh00930 december 2019 12:17
Gezien de aard van het lek lijkt het mij dat de beveiliging nooit serieus is genomen. Een externe audit zou deze methode nooit goedgekeurd hebben. Wyze-labs beweerd dat het niet om de productie database gaat, maar gezien de omvang zal het een complete (misschien verouderde) kopie gaan. In de praktijk wordt daar vaak wat slordiger mee omgesprongen, maar dit soort kopieën horen eigenlijk juist strenger beveiligd te zijn en liefst helemaal niet toegankelijk te zijn, tenzij strikt noodzakelijk (data- en systeembeheerders).

Helaas is dit het zoveelste voorbeeld dat beveiliging nog steeds niet de aandacht krijgt die het verdient.
Daar er ook Europese slachtoffers van het datalek zijn, lijkt het me goed dat ook Europa zich met dit lek bemoeit en eventueel een passende boete oplegt.
3raser 30 december 2019 11:47
Ik kan niet goed inschatten hoeveel impact dit lek heeft op de gebruikers. Waren de camera's nu bijvoorbeeld publiekelijk toegankelijk? Zo ja, hoe ga je dat oplossen nadat dit lek gedicht is? Moeten alle tokens voor Alexa worden gereset?
WillySis @3raser30 december 2019 12:07
Als ik het artikel goed doorlees zijn de camera's niet toegankelijk geweest, maar zijn alle gegevens die in de "profielen" staan gelekt.
xoniq 30 december 2019 12:06
Om deze reden doe ik niet aan die geregistreerde apparaten. Maar gewoon de Xiaomi Xiaofang gekocht en hier custom software op geflashed zodat die Chinese troep eraf is, en volledig lokaal werkt. (Wyze gebruikt dezelfde camera’s maar dan rebranded met eigen software)

Al die cloud diensten is hit/miss of het een keer lekt of juist niet.

[Reactie gewijzigd door xoniq op 23 juli 2024 17:27]

sapphire 30 december 2019 14:00
Ik wilde heel bijdehand roepen " en daarom kun je beter gewoon spullen van bekende Nederlandse/Europese merken kopen".

Maargoed toen bedacht ik me dat is. Het bekende 'Nederlandse' klikaanklikuit (Trust) ook gewoon hun spullen in China inkoopt en een eigen labeltje er op plakt. En de software dusdanig weinig aanpast dat hun IP camera gewoon elke 10 sec DNS requests doet op servers van de fabrikant/OEM in China :+

Dus blijkt maar weer, goedkoop komt toch ergens vandaan :(
Bor Coördinator Frontpage Admins / FP Powermod
@sapphire30 december 2019 20:07
Ter informatie; Wyze is gevestigd in Amerika (Seattle, WA).
telenut @Bor31 december 2019 10:01
en toch zijn het EXACT dezelfde camera's als de xiami dafang modellen uit china. ze zetten er hun eigen firmware op en verkopen ze tegen het dubbele van de prijs
Bor Coördinator Frontpage Admins / FP Powermod
@telenut31 december 2019 12:39
Hardwarematig zijn het dezelfde camera's maar na de eigen software etc is het niet meer vergelijkbaar als totaal product en spreken we niet meer over een chinees artikel.
telenut @Bor31 december 2019 12:43
De mogelijkheden van de software is in beide gevallen ook vrijwel identiek trouwens :-) ziet er gewoon compleet anders uit...
magician2000 30 december 2019 22:58
"In een forumpost bestrijdt de mede-oprichter en chief product officer van Wyze, Dongsheng Song, het bericht dat er data naar de Alibaba Cloud zouden worden gestuurd. Ook ontkent hij dat het bedrijf een half jaar geleden te kampen had met een gelijkaardig beveiligingslek. Song zegt verder dat het bedrijf maatregelen heeft genomen om de database opnieuw af te schermen voor onbevoegden. Als een gevolg hiervan moeten Wyze-gebruikers, de eerstvolgende keer dat ze met hun producten aan de slag gaan, zich opnieuw aanmelden en eventueel ook de koppelingen herstellen met Alexa, Google Assistent en IFTTT-diensten."

Dus ontkennen dat het een half jaar geleden een gelijkaardig beveiligingslek had, maar wel aangeven de database "opnieuw" af te schermen voor onbevoegden.

Klinkt als een OEPS, ik verspreek me...
Blokker_1999
@magician200031 december 2019 08:17
Volgens de officiële verklaring was deze database afgeschermd, maakte iemand een fout begin december waardoor deze publiek kwam te staan en is deze nu dus opnieuw afgeschermd.
magician2000 @Blokker_19991 januari 2020 23:18
Dank voor je toelichting!

Dat kan natuurlijk een uitleg zijn, maar is het hier wel krom neergezet (of onvolledig).

Dat gebeurd hier anders nooit O-)
Blokker_1999
31 december 2019 08:16
Moest reactie zijn op magician2000

[Reactie gewijzigd door Blokker_1999 op 23 juli 2024 17:27]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq