El fabricante de cámaras de seguridad y dispositivos inteligentes para el hogar Wyze Labs, ha confirmado que debido a un error de configuración se ha expuesto una base de datos que contiene información de 2.4 millones de usuarios.
En los últimos años ha aumentado exponencialmente la venta de cámaras de seguridad de la marca Wyze, ya que la compañía ofrece una relación de precios extremadamente bajos, una fuerte campaña de marketing en US, y la experiencia previa en el sector de la mano de sus fundadores, antiguos trabajadores de Amazon.
La empresa Twelve Security encontró una base de datos Elasticsearch pública con 2.4 millones de datos de usuarios expuestos, cuyo acceso estuvo disponible sin protección durante 3 semanas, y que se cerró en el momento en que se publicó el primer post que explicaba el suceso.
La base de datos expuesta contenía una gran cantidad de información, tanto personal como referente a productos en la misma red donde estaba conectada la cámara:
- Nombre de usuario y email de quien compró cámaras y luego los conectó en su hogar.
- Email de cualquier usuario con el que se haya compartido el acceso a la cámara, como algún miembro de la familia por ejemplo
- Lista de todas las cámaras en la misma red , con sus respectivos nombres, modelos y firmware.
- SSID de la conexión Wi-Fi, información de la red interna, fecha de último inicio de sesión y cierre de sesión desde la app
- API Tokens para acceder a la cuenta del usuario desde cualquier dispositivo iOS o android
- Tokens de Alexa de 24.000 usuarios que han conectado sus cámaras Wyzer con el dispositivo Alexa.
- Altura, peso, sexo, densidad ósea, masa ósea, ingesta diaria de proteínas y otra información de salud para un subconjunto de usuarios.
Por el momento Wyze no ha confirmado el número de usuarios afectados. El cofundador Dongsheng Song explica en el foro de la compañía, que copiaron algunos datos de las bases de datos en producción a una base de datos más flexible y originalmente estaban protegidos, pero una negligencia de uno de los empleados el día 4 de diciembre dejó abiertas las bases de datos al público.
Por otro lado, indican que no hay contraseñas ni información bancaria de los usuarios afectados en los datos expuestos.