Gegevens van 2,4 miljoen Wyze Labs-gebruikers uitgelekt

De gegevens van 2,4 miljoen gebruikers van Wyze Labs, leverancier van smart home camera's en devices, zijn uitgelekt. De gegevens waren drie weken lang toegankelijk voor onbevoegden via een onbeveiligde database gekoppeld aan een Elasticsearch-cluster.

Wyze Labs bevestigt het datalek, dat door Twelve Security werd ontdekt. De database bevat onder meer gebruikersnamen, e-mailadressen van zowel eigenaren als gebruikers van camera's en SSID's van wifi-netwerken. Ook zijn Alexa-tokens van 24.000 gebruikers uitgelekt. Deze tokens worden aangemaakt indien gebruikers hun Wyze-camera aan de spraakassistent koppelen. Wachtwoorden en financiële gegevens zijn niet uitgelekt.

Er zijn geen aanwijzingen dat de data uit de database is misbruikt, al is dat niet met zekerheid te zeggen. Twelve Security wijst erop dat de gestolen gegevens is teruggestuurd naar de Alibaba Cloud. Daarnaast valt op dat er geen Chinese gebruikers zijn getroffen. "Aangezien er duidelijke indicaties zijn dat de data wordt teruggestuurd naar de Alibaba Cloud in China, in combinatie met het feit dat slechts zes maanden geleden een vergelijkbaar datalek heeft plaatsgevonden, hebben we Wyze niet van tevoren gewaarschuwd", schrijft Twelve Security in een blogpost. "Ongeacht of het gaat om gerichte spionage of ernstige nalatigheid, het blijft een malafide actie die beantwoordt moet worden met een duidelijk, extern en snel onderzoek door de Amerikaanse autoriteiten."