IoT vendor Wyze announced that one of its servers exposed the details of roughly 2.4 million customers.

Това заглавие на пръв поглед заинтригува с обема на източените данни. За съжаление следва голям купон, но ще бъде невидим, в бекграунд (&).

Компанията спазва реда за оповестяване на инцидента и публикува информация.

Много по-интругуващи са реквизитите, които са изтекли!!!

То бива да почерпиш хакерите с някой ъпдейт, ама чак пък толкова…

According to Twelve Security, the exposed data includes:

  • User name and email of those who purchased cameras and then connected them to their home
  • Email of any user they ever shared camera access with such as a family member
  • List of all cameras in the home, nicknames for each camera, device model and firmware
  • WiFi SSID, internal subnet layout, last on time for cameras, last login time from app, last logout time from app
  • API Token for access to user account from any iOS or Android device
  • Alexa Tokens for 24,000 users who have connected Alexa devices to their Wyze camera
  • Height, Weight, Gender, Bone Density, Bone Mass, Daily Protein Intake, and other health information for a subset of users

Този набор от данни дава възможност на зловредните актьори да реализират изключително широк кръг от сценарии. От рафинирани атаки със социален инженеринг до брутални сесии с наблюдение през домашните камери и диалози с Alexa.

Колко от тези два и половина милиона потребители ще се заитересуват и ще сменят криптоключове, пароли, SSID, имена на камери и още чавствителни данни? Голяма част от тях дори няма да разберат какво им съобщават от компанията, когато получат зъдължителното според регулациите за конфиденциалност съобщение за пробива.

Кои от тях ще стигнат до токените за достъп до API? Или как ще ги смени компанията?

Елементарен скрипт може да осъществи изреждане на всички домашни адреси и да ги привърже с геопространствено позициониране за последващи действия. Още повече, че са налице имейлите на потребителите.

ЗАКЛЮЧЕНИЕ

Накрая кои зловредни актьори и за какво ще използват тези данни ще се разбере на купона, а един от начините да се направят негодни тези данни е субектите им да сменят съотношението BMI на телесните си показатели и да увеличат протеините.