این تولیدکننده دوربینهای امنیتی هوشمند تأیید کرده که یک سرور ناامن باعث شده تا دادههای کاربران Wyze به مدت سه هفته موردحمله قرار گیرند. درحالیکه وبلاگ IPVM که بر محصولات نظارتی ویدیویی تمرکز دارد توانسته بود تأیید کند که دادههایش تحتتأثیر این نشتی اطلاعات قرار گرفتهاند، این نشتی اطلاعات برای اولین بار توسط شرکت امنیت سایبری Twelve Security کشف شد. این شرکت در تاریخ 5 دیماه (26 دسامبر) این موضوع را اعلام کرد. بر اساس گفتههای Twelve Security، دادههای حدود 2.4 میلیون از کاربران شرکت Wyze در معرض خطر قرار گرفتهاند.
یکی از مؤسسان Wyze؛ یعنی دانگشنگ سانگ (Dongsheng Song) طی یک پست وبلاگی در رابطه با این نفوذ امنیتی نوشت که سرور نشتیدار یک سرور عملیاتی نبوده، اما در عوض یک پایگاه اطلاعاتی انعطافپذیر بوده که اجازه میداد تا دادههای کاربران سریعا مورد بررسی قرار گیرد. سانگ گفت که یک خطای انسانی موجب شده تا پروتکل امنیتی این سرور در تاریخ 13 آذر (4 دسامبر) حذف شده و بدین ترتیب دادهها تا تاریخ 5 دیماه (26 دسامبر)؛ یعنی زمانی که این شرکت متوجه این نقص شد، در معرض خطر قرار گیرند.
Twelve Security نیز در رابطه با این مسئله در وبلاگ خود بیان کرد که این سرور اطلاعاتی از قبیل: نام کاربری، آدرسهای ایمیل، نام مستعار دوربینها، مدل دستگاهها، اطلاعات سختافزار، جزئیات Wi-Fi SSID، شناسههای API در دستگاههای اندرویدی و iOS و نیز شناسههای الکسای کاربرانی را که با استفاده از دوربین خود به دستیار صوتی شرکت آمازون وصل شدهاند را در بر میگیرد (Wyze میگوید که این سرور گذرواژهها را شامل نمیشود). Twelve Security همچنین ادعا کرده که این پایگاه اطلاعاتی دستههای عظیم اطلاعات سلامتی از جمله: قد، وزن، تراکم استخوانی و مصرف روزانه پروتئین را در بر میگیرد. سانگ تأیید کرده که برخی از اطلاعات سلامتی به وسیله سنجشگرهای جدید گردآوری شدهاند، اما جمعآوری اطلاعات درباره چگالی استخوانی و مصرف روزانه پروتئین را انکار کرد.
Twelve Security همچنین ادعا کرده که نشانههای واضحی وجود دارند که میگویند این اطلاعات به Alibaba Cloud در چین فرستاده شدهاند، پست وبلاگی سانگ این ادعا را رد میکند. او گفت که Wyze از سرویس ابری Alibaba Cloud استفاده نکرده و اگرچه که ممکن است که این شرکت کارمندان و یا شرکایی چینی داشته باشد، اما اطلاعات کاربران خود را با هیچ آژانس دولتی به اشتراک نمیگذارد.
در پاسخ به این لغزش امنیتی، سانگ میگوید که Wyze بازرسی تمامی سرورهای خود را آغاز کرده و طی این اقدام یک سرور ناامن دیگر را نیز یافته است. وی همچنین گفت که این شرکت در حال بازبینی تمامی جنبههای دستورالعملهای امنیتی خود است. درعینحال، سانگ میگوید که کاربران باید مواظب حملات فیشینگ باشند و در این رابطه این شرکت تمامی کاربران خود را از حسابهایشان خارج کرده و نیز به دلیل بستن حفرههای حاصل از شناسههای لو رفته API و الکسا، تمامی پیوندهای شخص ثالثی را قطع کرده است.
این نشت اطلاعاتی در پایان یک سال سخت برای Wyze اتفاق افتاد. این شرکت در تیرماه (جولای) یک قابلیت تشخیص جمعیت مبتنی بر هوش مصنوعی را برای دوربینهای مقرونبهصرفه خود معرفی کرد. تنها به این دلیل که استارتاپ هوش مصنوعی شریک این شرکت در آبانماه (نوامبر) قرارداد خود را لغو کرد، آینده این قابلیت نیز مورد شک و تردید قرار گرفته است. انتشار اشتراک این سرویس نیز در همان ماه به دلیل «مشکلات حیاتی نامشخص» با تأخیر مواجه شد.
سانگ با تأکید میگوید که قیمتهای ارزان این شرکت به این معنی نیستند که Wyze حتی ذرهای نسبت به مسائل امنیتی کمکاری میکند. وی نوشت:
ما اغلب میشنویم که مردم میگویند که هرچقدر پول بدهی، همانقدر هم آش میخوری، و اینگونه فرض میکنند که محصولات Wyze به دلیل ارزان بودن از امنیت کمتری برخوردار هستند، این درست نیست. ما همیشه امنیت را بسیار جدی میگیریم و چنین نقصهای امنیتی برای ما ناراحتکننده هستند.
