IoT-производитель Wyze Labs допустил утечку данных, принадлежащих более чем 2,4 млн пользователей. Причиной раскрытия информации стала незащищенная база данных, подключённая к кластеру Elasticsearch.
В открытом виде данные лежали три недели — с 4 по 26 декабря. Первыми об утечке сообщили эксперты компании Twelve Security.
Однако сооснователь Wyze в блоге опроверг отдельные нюансы инцидента, опубликованные специалистами:
«Мы не отправляем данные в облако Alibaba Cloud. Также мы не собираем данные от продуктов, находящихся в режиме бета-тестирования».
«Более того, информация о том, что наша компания столкнулась с похожей утечкой 6 месяцев назад, не соответствует действительности».
Незащищенная база данных представляла собой копию рабочей БД, принадлежащей Wyze. Соответственно, на ней хранилась информация пользователей. Одной из целей этой базы было вычисление количества активированных устройств, сорвавшихся подключения, ошибок и прочей метрики.
