大規模なWyze Labsのデータ漏洩が数百万人に影響

Twelve Securityというコンサルティング会社が、数百万人のユーザーの機密データがオンラインで露出する結果となったWyzeのデータ漏洩を発見しました。誰でも数週間にわたり開かれたままのデータベースにアクセスすることができました。Wyze Labsは、元Amazon従業員数名が創設したアメリカのスタートアップ企業で、カメラを含む安価な家庭用スマートデバイスの製造に注力しています。

研究者たちは、「これが意図的なスパイ活動であれ重大な過失であれ、それは米国当局による決定的で外部からの迅速な調査によって解決されるべき悪意のある行動である」と述べました。

個人情報にはユーザー名、メールアドレス、Wi-Fi SSID、AndroidおよびiOSのAPIトークン、Alexa統合トークン、カメラ名の一覧、およびベータユーザーの性別、身長、体重などの健康情報が含まれていました。

Twelve Securityはまた、露出した情報に骨密度や日々のタンパク質摂取量が含まれていると主張しましたが、同社はこれを否定し、そのようなデータを収集したことはない（ベータテスト中の体の指標を除く）と述べています。また、コンサルティング会社はWyzeが中国のAlibaba Cloudにデータを送信していたと述べましたが、共同創設者の宋東升氏はフォーラム投稿でこれも否定し、政府機関とは一切データを共有していないと述べました。

Wyzeは、12月26日にこの問題を発見したと、同社の共同創設者である宋東升氏によります。12月27日には、最高製品責任者がフォーラム投稿で、***「今日、Wyzeのユーザーデータの一部が適切に保護されず、12月4日から12月26日の間に露出していたことを確認します。」***と述べています。

その直後に、宋東升氏は同社が別の保護されていないデータベースを発見したことを明らかにしました。どのデータが関与していたかは不明ですが、金融情報やパスワードは取得されていませんでした。すべてのデータベースは*「ロックダウン」*されています。これについてWyzeは次のように述べています。

これは、Wyzeのすべてのセキュリティガイドラインを見直し、そのプロトコルをWyzeの従業員によりよく伝え、2要素認証以上のユーザーが要求したセキュリティ機能の優先順位を上げる必要があるという明確なシグナルです。

同社は、データ漏洩は、ある従業員があるデータベースから別のデータベースにデータをコピーし、セキュリティプロトコルを維持できなかったために発生した人為的なミスであると述べています。

宋氏はブログ投稿で述べています:

私たちは常にセキュリティを非常に重視してきましたが、このような形でユーザーを失望させてしまったことに打ちのめされています。すべての影響を受けた顧客にメール通知を行うために取り組んでおり、近いうちにリリースする予定です。

現在、Wyzeは顧客のログアウトを行い、再度ログインしアカウントのパスワードをリセットするよう求めています。