{"id":226544,"date":"2019-12-30T11:31:16","date_gmt":"2019-12-30T10:31:16","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=226544"},"modified":"2022-02-21T08:17:51","modified_gmt":"2022-02-21T07:17:51","slug":"iot-anbieter-wyze-gesteht-datenleck-ein","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/12\/30\/iot-anbieter-wyze-gesteht-datenleck-ein\/","title":{"rendered":"IoT-Anbieter Wyze gesteht Datenleck ein"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/12\/30\/iot-anbieter-wyze-gesteht-datenleck-ein\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Noch ein Nachtrag vom Wochenende. Der IoT-Anbieter Wyze musste gerade ein Datenleck eingestehen. Fast 2,4 Millionen Nutzerdaten standen auf einem Server ungesch\u00fctzt im Internet.<\/p>\n<p><!--more--><\/p>\n<h2>Wer ist Wyze?<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/d73810c0016f4f07b7fe482ef7f4bb01\" alt=\"\" width=\"1\" height=\"1\" \/><a href=\"https:\/\/en.wikipedia.org\/wiki\/Wyze_Labs\" target=\"_blank\" rel=\"noopener noreferrer\">Wyze<\/a> ist ein US-Anbieter von 'g\u00fcnstigen' Smart-Home Ger\u00e4ten wie Kameras, Lampen, Schl\u00f6sser oder \u00e4hnliches. Gegr\u00fcndet wurde das Ganze von ehemaligen Amazon-Angestellten. Wie die Firma mit China und Alibaba zusammen h\u00e4ngt (siehe die <a href=\"https:\/\/web.archive.org\/web\/20210401030727\/https:\/\/blog.12security.com\/wyze\/\" target=\"_blank\" rel=\"noopener noreferrer\">Hinweise hier<\/a>), ist mir bisher unklar.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Wyze-Produkte\" src=\"https:\/\/web.archive.org\/web\/20210401030729\/https:\/\/blog.12security.com\/content\/images\/2019\/12\/screencapture-wyze-shop-html-2019-12-26-08_13_21.png\" alt=\"Wyze-Produkte\" width=\"621\" height=\"642\" \/><br \/>\n(Shop mit Wyze-Produkten, Quelle: 12security.com)<\/p>\n<p>Alle diese sch\u00f6nen, neuen und intelligenten Ger\u00e4te brauchen nat\u00fcrlich Zugang zur Cloud, damit der Besitzer auch per App auf die Daten zugreifen kann. Und die Besitzer legen sich dazu ein Konto mit Zugangsdaten an.<\/p>\n<p>Das betrifft alles nur die Leute im fernen Amerika und tangiert uns nicht? Zumindest die Site <em>homeandsmart.de<\/em> hat sich in <a href=\"https:\/\/www.homeandsmart.de\/wyze-cam-guenstige-smart-home-ueberwachungskamera\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> mit deren WazeCam auseinander gesetzt. Die \u00dcberwachungskamera gibt es f\u00fcr 30 Euro, und die muss der deutsche Nutzer unbedingt haben.<\/p>\n<h2>Das Datenleck<\/h2>\n<p>Ich bin bereits am Wochenende \u00fcber den nachfolgenden Tweet von Catalin Cimpanu auf das Datenleck aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">IoT vendor Wyze confirms server leak<\/p>\n<p>* Data for 2.4m users exposed online<br \/>\n* Leak lasted 22 days (Dec 4 to Dec 26)<br \/>\n* Leak source: Elasticsearch<br \/>\n* Wyze appears to have been notified 9 minutes before the security firm published its findings <a href=\"https:\/\/t.co\/6eyA9ZvVc7\">https:\/\/t.co\/6eyA9ZvVc7<\/a> <a href=\"https:\/\/t.co\/ZzfDBZKxWW\">pic.twitter.com\/ZzfDBZKxWW<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1211122632843763713?ref_src=twsrc%5Etfw\">December 29, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Der Anbieter wurde 26. Dezember 2019 kurz vor Ver\u00f6ffentlichung <a href=\"https:\/\/web.archive.org\/web\/20210401030727\/https:\/\/blog.12security.com\/wyze\/\" target=\"_blank\" rel=\"noopener noreferrer\">eines Beitrags<\/a> durch die Sicherheitsforscher von <a href=\"https:\/\/web.archive.org\/web\/20210401030727\/https:\/\/blog.12security.com\/wyze\/\" target=\"_blank\" rel=\"noopener noreferrer\">12Security.com<\/a> \u00fcber das Datenleck auf einem Elasticsearch Datenbank-Server informiert \u2013 wie man auf <a href=\"https:\/\/www.zdnet.com\/article\/iot-vendor-wyze-confirms-server-leak\/\" target=\"_blank\" rel=\"noopener noreferrer\">ZDNet nachlesen<\/a> kann. Von IPVM wurden die Daten verifiziert, wie man <a href=\"https:\/\/ipvm.com\/reports\/wyze-leak\" target=\"_blank\" rel=\"noopener noreferrer\">hier nachlesen<\/a> kann. Der Anbieter Wyze hat am 26.\/27. Dezember 2019 dann in <a href=\"https:\/\/forums.wyzecam.com\/t\/updated-12-29-19-data-leak-12-26-2019\/79046\" target=\"_blank\" rel=\"noopener noreferrer\">einer Meldung<\/a> das Datenleck \u00f6ffentlich gemacht.<\/p>\n<blockquote><p>On December 26th at around 10:00 AM, we received a report of a data leak. We immediately restricted database access and began an investigation.<\/p>\n<p>Today, we are confirming that some Wyze user data was not properly secured and left exposed from December 4th to December 26th.<\/p><\/blockquote>\n<p>Der Hintergrund: Um das extrem schnelle Wachstum von Wyze zu bew\u00e4ltigen, hat der Anbieter vor kurzem ein neues internes Projekt gestartet. Es geht um bessere M\u00f6glichkeiten zur Messung grundlegender Gesch\u00e4ftskennzahlen wie Ger\u00e4teaktivierungen, und es geht darum, fehlgeschlagene Verbindungsraten usw. zu finden. Der Anbieter hat dazu einige Daten von seinen Hauptproduktionsservern kopiert und in eine flexiblere und leichter abfragbare Datenbank gestellt. Diese neue Datentabelle war bei ihrer urspr\u00fcnglichen Erstellung gesch\u00fctzt.<\/p>\n<p>Am 4. Dezember 2019 machte jedoch ein Mitarbeiter von Wyze einen Fehler bei der Verwendung dieser Datenbank und die bisherigen Sicherheitseinstellungen f\u00fcr diese Daten wurden entfernt. In Folge waren diese Daten frei zug\u00e4nglich. Wyze schreibt zwar, dass die Produktionsdatenbanken nicht zug\u00e4nglich waren, sondern nur die neuen Tabellen mit den herausgezogenen Daten. Zwar waren keinen Benutzerkennw\u00f6rter oder pers\u00f6nliche und finanzielle Informationen der Wyze-Nutzer gespeichert.<\/p>\n<p>Aber die \u00f6ffentlich erreichbaren Tabellen enthielten die E-Mail-Adressen von Kunden, die Namen (Aliase) der Kameras, WiFi-SSIDs, Wyze-Ger\u00e4teinformationen, K\u00f6rpermetriken f\u00fcr eine kleine Anzahl von Produkt-Betatestern und begrenzte Token, die mit Alexa-Integrationen in Verbindung stehen. Auch E-Mail-Adressen von Familienmitgliedern, denen Zugriff auf die Kameras gegeben wurde, waren darunter. Details sind <a href=\"https:\/\/web.archive.org\/web\/20210401030727\/https:\/\/blog.12security.com\/wyze\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a> nachlesbar.<\/p>\n<blockquote><p>Die Entdecker der Datenbank <a href=\"https:\/\/web.archive.org\/web\/20210401030727\/https:\/\/blog.12security.com\/wyze\/\" target=\"_blank\" rel=\"noopener noreferrer\">geben<\/a> an, dass die sensiblen Daten alle zuf\u00e4llig au\u00dferhalb Chinas generiert wurden. Um die 24% der abrufbaren Daten bezogen sich auf Nutzer in den USA, Gro\u00dfbritannien, Vereinigte Arabische Emirate, \u00c4gypten und Teile von Malaysia. Der Wyze Mitbegr\u00fcnder Dongsheng Song dementiert aber, dass Daten nach China, zur Plattform Alibaba \u00fcbertragen worden seien. Die schmutzige Seite der Geschichte: Vor 7 Monaten gab es bereits <a href=\"https:\/\/web.archive.org\/web\/20201209104829\/https:\/\/news.ycombinator.com\/item?id=20071090\" target=\"_blank\" rel=\"noopener noreferrer\">diese Meldung<\/a>, dass Fremde private Feeds von Wyze-Kameras abrufen konnten (hier gibt es <a href=\"https:\/\/www.reddit.com\/r\/wyzecam\/comments\/bvis0f\/psa_asking_alexa_to_show_your_wyze_camera_might\/\" target=\"_blank\" rel=\"noopener noreferrer\">einige Infos<\/a>). Es soll sich um einen isolierten Einzelfall gehandelt haben, wo eine Kamera den Besitzer gewechselt hat und der Vorbesitzer die Daten weiter ansehen konnte.<\/p><\/blockquote>\n<h2>Alles vorsorglich zur\u00fcckgesetzt<\/h2>\n<p>Es gibt laut Wyze keine Hinweise darauf, dass API-Token f\u00fcr iOS und Android aufgedeckt wurden. Der Hersteller hat sich aber entschieden, alle diese Zugangstokens als Vorsichtsma\u00dfnahme zu aktualisieren. Alle Wyze-Benutzer wurden gezwungen, sich erneut in ihr Wyze-Konto einzuloggen, um neue Token zu generieren.<\/p>\n<p>Au\u00dferdem hat der Anbieter alle 3rd-Party-Integrationen aufgehoben, Das f\u00fchrte dazu, dass die Nutzer die Integrationen mit Alexa, The Google Assistant und IFTTT wieder neu verkn\u00fcpfen mussten, um die Funktionalit\u00e4t dieser Dienste wieder zu erhalten. Als zus\u00e4tzlichen Schritt will der Hersteller Ma\u00dfnahmen zur Verbesserung der Kamera-Sicherheit ergreifen, die in den n\u00e4chsten Tagen einen Neustart der Wyze-Kameras verursachen werden.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein Nachtrag vom Wochenende. Der IoT-Anbieter Wyze musste gerade ein Datenleck eingestehen. Fast 2,4 Millionen Nutzerdaten standen auf einem Server ungesch\u00fctzt im Internet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-226544","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226544","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=226544"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/226544\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=226544"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=226544"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=226544"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}