Haberler

IoT Hizmetleri Tedarikçisi Wyze, Sunucularında Sızıntı Yaşandığını Bildirdi

Bilgi Güvende

tarafından

30 Aralık 2019

tarihinde yayımlandı

Nesnelerin İnteneti (IoT) uyumlu akıllı cihazlar satan Wyze, teknik bir hatanın ardından 2,4 milyon müşteriye ait bilgilerin internete sızdırıldığını açıkladı. Wyze kurucu ortaklarından Dongsheng Song tarafından yapılan açıklamada, sızıntının şirket içi veri tabanının yanlışlıkla internette yayınlanmasından kaynaklandığı ifade edildi.

“Elasticsearch” adı verilen sistemin akıllı kapı zili ve ampul gibi cihazların üretimi ile ilgili olmadığı, ancak hassas müşteri bilgileri içerdiği belirtildi. Wyze, Elasticsearch sunucusunun milyonlarca müşterinin oluşturduğu Büyük Veri’yi taramak için oluşturulduğunu ifade etti.

Yapılan açıklamada, ana üretim sunucularından kopyalanan bazı verilerin daha kolay analiz edilmesi için Elasticsearch sunucusuna aktarıldığı, bu süreçte bir çalışan tarafından yapılan hata sonucu güvenlik protokolünün ihlal edildiği bilgisi paylaşıldı. Wyze, veri sızıntısına neden olan durumun incelenmeye devam edildiğini not düştü.

Wyze sunucusunda yaşanan sızıntı, bir güvenlik firması tarafından tespit edildi.

Song, sızdırılan bilgilerde müşterilere ait e-posta adreslerinden Wyze hesaplarına ait bilgilerin bulunduğunu, ayrıca 24 bin kullanıcının sesli asistan cihazlarına bağlanmak için kullandıkları kodların yer aldığını söyledi.

Wyze, güvenlik uzmanlarının iddialarını yalanladı

Sızıntıyı tespit eden Twelve Security, Wyze’ın API (uygulama programlama arayüzü) sızıntısı da yaşadığını ve siber suçluların API’ları kullanarak iOS ve Android cihazlara erişim sağlayabileceğini öne sürdü. Şirket aynı zamanda Wyze’ın kullanıcı verilerini Çin’deki bir bulut sunucusuna ilettiğini, ayrıca kullanıcıların sağlık bilgilerinin izinsiz olarak toplandığını da iddia etti.

Wyze her üç iddiayı da yalanlarken, bugüne dek sadece yeni bir ürünün testi için 140 müşterinin sağlık bilgilerinin kullanıldığını duyurdu.

Wyze, API kodları ve Alexa cihazlarına bağlantı sağlayan tüm üçüncü parti uygulamalardaki kullanıcı hesaplarını kapattırırken, sesli asistan cihazları için yeni hesaplar oluşturulmasını talep etti.