داده‌های 2.4 میلیون کاربر دوربین‌های مداربسته لو رفت!

این تولیدکننده دوربین‌های امنیتی هوشمند تأیید کرده که یک سرور ناامن باعث شده تا داده‌های کاربران Wyze به مدت سه هفته موردحمله قرار گیرند. درحالی‌که وبلاگ IPVM که بر محصولات نظارتی ویدیویی تمرکز دارد توانسته بود تأیید کند که داده‌هایش تحت‌تأثیر این نشتی اطلاعات قرار‌ گرفته‌اند، این نشتی اطلاعات برای اولین بار توسط شرکت امنیت سایبری Twelve Security کشف شد. این شرکت در تاریخ 5 دی‌ماه (26 دسامبر) این موضوع را اعلام کرد. بر اساس گفته‌های Twelve Security، داده‌های حدود 2.4 میلیون از کاربران شرکت Wyze در معرض خطر قرار گرفته‌اند.

یکی از مؤسسان Wyze؛ یعنی دانگشنگ سانگ (Dongsheng Song) طی یک پست وبلاگی در رابطه با این نفوذ امنیتی نوشت که سرور نشتی‌دار یک سرور عملیاتی نبوده، اما در عوض یک پایگاه اطلاعاتی انعطاف‌پذیر بوده که اجازه می‌داد تا داده‌های کاربران سریعا مورد بررسی قرار گیرد. سانگ گفت که یک خطای انسانی موجب شده تا پروتکل امنیتی این سرور در تاریخ 13 آذر (4 دسامبر) حذف شده و بدین ترتیب داده‌ها تا تاریخ 5 دی‌ماه (26 دسامبر)؛ یعنی زمانی که این شرکت متوجه این نقص شد، در معرض خطر قرار گیرند.

Twelve Security نیز در رابطه با این مسئله در وبلاگ خود بیان کرد که این سرور اطلاعاتی از قبیل: نام کاربری، آدرس‌های ایمیل، نام مستعار دوربین‌ها، مدل دستگاه‌ها، اطلاعات سخت‌افزار، جزئیات Wi-Fi SSID، شناسه‌های API در دستگاه‌های اندرویدی و iOS و نیز شناسه‌های الکسای کاربرانی را که با استفاده از دوربین خود به دستیار صوتی شرکت آمازون وصل‌ شده‌اند را در بر می‌گیرد (Wyze می‌گوید که این سرور گذرواژه‌ها را شامل نمی‌شود). Twelve Security همچنین ادعا کرده که این پایگاه اطلاعاتی دسته‌های عظیم اطلاعات سلامتی از جمله: قد، وزن، تراکم استخوانی و مصرف روزانه پروتئین را در بر می‌گیرد. سانگ تأیید کرده که برخی از اطلاعات سلامتی به وسیله سنجش‌گرهای جدید گرد‌آوری شده‌اند، اما جمع‌آوری اطلاعات درباره چگالی استخوانی و مصرف روزانه پروتئین را انکار کرد.

Twelve Security همچنین ادعا کرده که نشانه‌های واضحی وجود دارند که می‌گویند این اطلاعات به Alibaba Cloud در چین فرستاده شده‌اند، پست وبلاگی سانگ این ادعا را رد می‌کند. او گفت که Wyze از سرویس ابری Alibaba Cloud استفاده نکرده و اگرچه که ممکن است که این شرکت کارمندان و یا شرکایی چینی داشته باشد، اما اطلاعات کاربران خود را با هیچ آژانس دولتی به اشتراک نمی‌گذارد.

در پاسخ به این لغزش امنیتی، سانگ می‌گوید که Wyze بازرسی تمامی سرورهای خود را آغاز کرده و طی این اقدام یک سرور ناامن دیگر را نیز یافته است. وی همچنین گفت که این شرکت در حال بازبینی تمامی جنبه‌های دستورالعمل‌های امنیتی خود است. درعین‌حال، سانگ می‌گوید که کاربران باید مواظب حملات فیشینگ باشند و در این رابطه این شرکت تمامی کاربران خود را از حساب‌هایشان خارج کرده و نیز به دلیل بستن حفره‌های حاصل از شناسه‌های لو رفته API و الکسا، تمامی پیوندهای شخص ثالثی را قطع کرده است.

این نشت اطلاعاتی در پایان یک سال سخت برای Wyze اتفاق افتاد. این شرکت در تیرماه (جولای) یک قابلیت تشخیص جمعیت مبتنی بر هوش مصنوعی را برای دوربین‌های مقرون‌به‌صرفه خود معرفی کرد. تنها به این دلیل که استارتاپ هوش مصنوعی شریک این شرکت در آبان‌ماه (نوامبر) قرارداد خود را لغو کرد، آینده این قابلیت نیز مورد شک و تردید قرار گرفته است. انتشار اشتراک این سرویس نیز در همان ماه به دلیل «مشکلات حیاتی نامشخص» با تأخیر مواجه شد.

سانگ با تأکید می‌گوید که قیمت‌های ارزان این شرکت به این معنی نیستند که Wyze حتی ذره‌ای نسبت به مسائل امنیتی کم‌کاری می‌کند. وی نوشت:

ما اغلب می‌شنویم که مردم می‌گویند که هرچقدر پول بدهی، همان‌قدر هم آش می‌خوری، و این‌گونه فرض می‌کنند که محصولات Wyze به دلیل ارزان بودن از امنیت کمتری برخوردار هستند، این درست نیست. ما همیشه امنیت را بسیار جدی می‌گیریم و چنین نقص‌های امنیتی برای ما ناراحت‌کننده هستند.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

به بالا بروید
TCH