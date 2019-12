Wyzen käyttäjien salasanat ovat suojassa, mutta huijausyrityksiin kannattaa varautua.

Älylaitteiden valmistaja Wyze vahvistaa vahingon, jossa se jätti asiakkaidensa tietoja saataville avoimelle verkkopalvelimelle. Virheestä uutisoi muun muassa ZDNet, jonka mukaan vuoto koskettaa noin 2,4 miljoonaa asiakasta.

Tietokannassa ei ollut salasanoja tai maksukorttitietoja, mutta siinä oli muun muassa sähköpostiosoitteita, asiakkaiden kameroilleen antamia lempinimiä ja wifi-verkkojen ssid-tunnisteita.

Wyzen mukaan vuodon vuoksi asiakkaiden kannattaa varautua sähköpostitse tehtäviin huijausyrityksiin, joskin ei ole tietoa ehtivätkö rikolliset katsoa tietoja ennen niiden lukitsemista.

Vuodon havaitsivat tietoturvayhtiö Twelve Security ja IPVM-niminen verkkoblogi, jota Wyze syyttää tietojen liian nopeasta julkaisemisesta. Wyzen mukaan varoitusaikaa annettiin 14 minuuttia.

Yhdysvaltalainen Wyze valmistaa muun muassa turvakameroita, älyvaloja ja älylukkoja. Avoin tietokanta luotiin yhtiön kasvun hallitsemiseksi ja se oli alun perin suojattu.

– Wyzen työntekijä teki kuitenkin virheen 4. joulukuuta käyttäessään tätä tietokantaa, ja tietojen aiemmat turvaprotokollat poistettiin, Wyzen perustajiin lukeutuva Dongsheng Song kirjoittaa.

Vahinko paljastui pahemmaksi

Song sanoo uusimmassa tilannepäivityksessään sunnuntailta, että nyt on löytynyt myös toinen suojaamaton tietokanta. Tutkimukset ovat sen osalta kesken, mutta tämäkään tietokanta ei sisältänyt salasanoja tai maksutietoja. Wyze selvittää yhä, mitä ylimääräisiä tietoja vuoti tämän tietokannan kautta ja minkä takia tietokanta oli suojaamatta.

Vuodon paljastajat ja Wyze ovat paikoin eri mieltä siitä, mitä tietoja vuoto koskee. Wyze kiistää väitteen, että vuodossa olisi paljastunut sellaisia tietoja, joilla hyökkääjien olisi mahdollista tunkeutua käyttäjätileille mistä tahansa iOS- tai Android-laitteesta käsin.

Myös terveystiedoista on eripuraa. Sellaisia kyllä kerätään, mutta Wyzen mukaan vain 140 testikäyttäjän osalta. Kyse on älyvaa'asta, jota varten on kerätty tietoja testaajien pituudesta, painosta ja sukupuolesta. Wyze kiistää säilyttävänsä tietoja luuntiheydestä tai päivittäisestä proteiinin saannista.

Wyze ei myöskään allekirjoita väitettä, että se lähettäisi käyttäjätietoja Alibaba Cloud -palvelimelle Kiinaan.

Wyze on varotoimenpiteenä pakottanut kaikki käyttäjänsä ulos tileiltään ja kirjautumaan niille uudestaan. Myös linkitykset esimerkiksi Alexaan tai Google Assistant -digiavustajaan pitää tehdä uudelleen.