Wyze カメラのセキュリティ侵害により、240 万人を超えるユーザーの個人データが大量に漏洩しました…

この侵害を発見したTwelveSecurity社は、これほど深刻な侵害はこれまで見たことがないと述べている。

個人的には、システム管理とクラウドエンジニアリングに携わって10年になりますが、これほどの規模の侵害に遭遇したことは一度もありません […]

同社の生産データベースは両方ともインターネットに完全に公開されていました。その結果、偶然にも中国国外の240万人のユーザーから大量の機密情報が生成されたのです。

では、その情報にはどのような内容が含まれていたのでしょうか? 次のとおりです。

• カメラを購入し、自宅に接続した人のユーザー名とメールアドレス
• 240万人のユーザーのうち24%はESTタイムゾーンにいます（残りは米国、英国、UAE、エジプト、マレーシアの一部の残りのゾーンに分散しています）
• 家族など、カメラへのアクセスを共有したことがあるユーザーのメールアドレス
• 家庭内のすべてのカメラのリスト、各カメラのニックネーム、デバイスモデル、ファームウェア
• WiFi SSID、内部サブネットレイアウト、カメラの最終オン時間、アプリからの最終ログイン時間、アプリからの最終ログアウト時間
• あらゆるiOSまたはAndroidデバイスからユーザーアカウントにアクセスするためのAPIトークン
• AlexaデバイスをWyzeカメラに接続した24,000人のユーザーにAlexaトークンをプレゼント
• 身長、体重、性別、骨密度、骨量、1日のタンパク質摂取量、および一部のユーザーのその他の健康情報

Wyze 社はリークを認めた。

本日、Wyze のユーザーデータの一部が適切に保護されておらず、12 月 4 日から 12 月 26 日まで無防備な状態であったことを確認しました […]

メインの本番サーバーから一部のデータをコピーし、より柔軟でクエリしやすいデータベースに格納しました。この新しいデータテーブルは、作成当初は保護されていました。しかし、12月4日にWyze社の従業員がこのデータベースを使用していた際にミスを犯し、このデータに対する以前のセキュリティプロトコルが削除されてしまいました。この事象の原因と経緯については、現在も調査中です。

この脆弱性は12月4日に発生し、本番環境のデータテーブルには影響がありませんでした。このデータベースは重要なものでしたが、データのサブセットのみが含まれていました。ユーザーのパスワードや政府規制対象の個人情報や金融情報は含まれていませんでした。含まれていたのは、顧客のメールアドレス、カメラのニックネーム、Wi-Fi SSID、Wyzeデバイス情報、少数の製品ベータテスターの体格データ、そしてAlexa統合に関連する限定的なトークンでした。

しかし、その後「追加のデータベース」が保護されていない状態であったことが発覚したと述べている。

同社は、Wyze カメラのセキュリティ侵害にはパスワードや金融データは含まれておらず、影響を受けたユーザーには電子メールで通知する予定だとしている。

あらゆる情報漏洩と同様に、Wyzeユーザーの皆様には予防措置としてパスワードの変更を推奨します。また、フィッシング攻撃には特に注意が必要です。漏洩した個人データの量を考えると、ハッカーがWyzeからのメールを偽装し、本物に見えるようにすることは容易です。

画像: Shutterstock

otwish.com を Google ニュース フィードに追加します。