Wyze, azienda produttrice di dispositivi per smart home e videosorveglianza, ha confermato che nelle scorse settimane le informazioni appartenenti a 2,4 milioni di utenti sono state esposte: un database è finito online nella giornata del 4 dicembre e lì è rimasto fino al 26 dicembre, quando in seguito a una segnalazione ricevuta il problema è stato risolto.
Un leak per Wyze e i suoi utenti
A rendere noto il leak è un lungo post firmato dal co-fondatore Dongsheng Song in cui vengono forniti i dettagli sull’accaduto. Si parla di un problema insorto durante la fase di test di nuovi server, nel tentativo di trovare una soluzione adeguata a gestire una mole di dati in costante crescita.
Per aiutare a gestire la crescita estremamente rapida di Wyze di recente abbiamo avviato un nuovo progetto interno al fine di trovare le soluzioni migliori per rilevare statistiche di base come le attivazioni dei dispositivi, la frequenza degli errori di connessione ecc. Abbiamo copiato alcuni dati dai nostri server principali in un database più flessibile e più semplice da interrogare.
A quanto pare qualcuno, erroneamente, ha rimosso la protezione a tutela del database, finendo con l’esporlo e dando così vita al leak.
Questa nuova tabella di informazioni è stata protetta non appena creata. Ciò nonostante, un errore è stato compiuto da un dipendente di Wyze nel giorno del 4 dicembre durante l’utilizzo del database, portando alla rimozione del protocollo di sicurezza precedentemente impiegato. Stiamo ancora indagando l’accaduto per chiarire nel dettaglio la vicenda.
Queste le informazioni rese accessibili pubblicamente: indirizzi email, username per l’accesso agli account, nomi assegnati ai dispositivi della smart home, SSID dei network WiFi e per circa 24.000 utenti anche i token per la connessione all’assistente virtuale Alexa.