نشت اطلاعاتی سرورهای Wyze

21 بهمن 1398

0 49 خواندن این مطلب 3 دقیقه زمان میبرد

شرکت Wyze که فروشنده تجهیزات هوشمندی همچون دوربین‌های امنیتی، پریز هوشمند، چراغ هوشمند و قفل در هوشمند است، وقوع رخنه امنیتی در یکی از سرورهای خود که منجر به نشت اطلاعات حدود 2.4 میلیون نفر از مشتریانش شد را تأیید کرد.

Dongsheng Song از بنیانگذاران شرکت Wyze، در یکی از پست‌های انجمن این شرکت که در تعطیلات کریسمس منتشر شد، گفت این رخنه امنیتی هنگامی اتفاق افتاد که یکی از پایگاه‌های داده داخلی این شرکت، تصادفاً به فضای آنلاین راه پیدا کرد.

به گفته Song، پایگاه داده افشا شده (یک سیستم Elasticsearch) جزو سیستم‌های تولیدی این شرکت نبوده اما داده‌های کاربران در آن ذخیره شده است. سرور Elasticsearch، یک فناوری است که از آن برای پاسخ به کوئری های جستجو به صورت فوق‌العاده سریع استفاده می شود. همچنین عملیات جستجو و مرتب سازی حجم انبوهی از داده‌های کاربران را نیز میتوان با آن به راحتی انجام داد.

مدیر اجرایی شرکت Wyze گفته است: «ما اخیراً برای کمک به مدیریت رشد فوق العاده سریع شرکت Wyze، یک پروژه جدید را راه اندازی کرده بودیم تا روش مناسب‌تری جهت ارزیابی معیارهای پایه کسب و کارمان مثل فعال سازی دستگاه‌ها، نرخ شکست در برقراری ارتباط و غیره را پیدا کنیم.»

ما یکسری از داده‌ها را از روی سرورهای اصلی کپی کرده و به پایگاه داده ای که پرس وجو گرفتن از آن آسان‌تر است، منتقل کردیم. این جدول جدید در هنگام ساخت، کاملاً محافظت شده بود اما بر اثر اشتباه یکی از کارمندان شرکت، در چهارم دسامبر پروتکل‌های امنیتی قبلی این داده‌ها حذف شدند. ما همچنان در حال بررسی این رویداد هستیم تا چگونگی و دلیل وقوع آن را مشخص کنیم».

شرکت مشاور امنیت سایبری Twelve Security این سرور را شناسایی و ثبت کرد. گزارش های وبلاگ IPVM که در حوزه محصولات نظارت ویدیویی کار می‌کند، این نشت اطلاعاتی را تأیید کرده است.

Song از عملکرد شرکت Twelve Security و وبلاگ IPVM که تنها 14 دقیقه برای رفع مشکل، پیش از انتشار این خبر به او مهلت داده بودند، ابراز ناراحتی کرد و گفته است: «ما در ابتدا از طریق تیکتی که ساعت 9:21 صبح توسط یکی از گزارشگران سایت IPVM.com به بخش پشتیبانی ارسال شد، از این موضوع مطلع شدیم. تقریباً بلافاصله پس از این اطلاع رسانی، مقاله مربوط به آن منتشر شد (و خبر آن ساعت 9:35 صبح در توییتر منتشر شد). این توییت همزمان با پستی در سایت یک شرکت امنیتی منتشر شد. ما حدود ساعت 10 صبح از انتشار این مقاله باخبر شدیم؛ آن هم توسط یکی از کارکنان مان که آن را مطالعه کرده بود».

Song همچنین تأیید کرد که نشت اطلاعاتی این سرور منجر به افشای اطلاعاتی همچون آدرس ایمیل مشتریان شرکت شده که از آن ها برای ایجاد حساب کاربری Wyze استفاده می‌شده است. علاوه بر این، نام کاربری اختصاص یافته به دوربین‌های امنیتی، شناسه‌های SSID شبکه‌های وایفای و نیز توکن الکسای 24 هزار کاربر که از آن برای اتصال تجهیزات Wyze به دستگاه‌های الکسا استفاده می‌شد نیز نشت پیدا کرده است.

مدیر اجرایی شرکت Wyze، افشای توکن‌های Wyze API را از طریق این سرور تکذیب کرد اما شرکت Twelve Security در پست وبلاگی خودش ادعا کرد که توکن‌های API را پیدا کرده و هکرها می‌توانند از آن برای دسترسی به حساب‌های کاربری Wyze از طریق هر دستگاهی با سیستم عامل اندروید یا iOS استفاده کنند.

همچنین این شرکت ادعاهای Twelve Security مبنی بر ارسال اطلاعات مشتریان به سرور ابری Alibaba در چین را رد کرد. Song گفت این اطلاعات فقط از 140 کاربری که در حال آزمایش بتای یک ترازوی هوشمند جدید بودند، جمع آوری شده است. او جمع آوری اطلاعات مربوط به قد، وزن و جنسیت افراد را تکذیب نکرد اما جمع آوری سایر اطلاعات را انکار کرده و گفت: «ما هرگز اطلاعات مربوط به تراکم استخوان و میزان مصرف روزانه پروتئین را جمع آوری نکردیم».

به نظر می‌رسد که تا این لحظه حداقل سه طرف دخیل در افشای این نشت اطلاعاتی با این صحبت‌ها مخالف هستند. در هر صورت، شرکت Wyze اعلام کرده که تمام کاربران را از حساب‌های کاربریشان log out می‌کند و مجوز ادغام تمام برنامه‌های کاربردی را هم لغو کرده است. این دو اقدام باعث می‌شود وقتی کاربران دوباره به حساب کاربری خودشان لاگین کرده و بخواهند دستگاه‌های الکسا را به حساب Wyze خود متصل کنند، توکن‌های جدیدی برای API Wyze و الکسا تولید شود.

بر اساس اطلاعات موجود، شرکت Wyze منجر به نشت اطلاعات یکی از کلاسترهای بزرگ سرور Elasticsearch شده که شامل 1807201457 رکورد اطلاعاتی متشکل از داده‌های لاگ، درخواست های ارسال شده به API و رویدادهای مختلف بوده اند.

برچسب ها