Вход |  Регистрация
 
 
Время электроники Среда, 19 февраля
 
 


Это интересно!

Ранее

Huawei создаст «убийцу» YouTube и других сервисов Google

Huawei заявила о планах создать равноценную замену YouTube, Gmail и других сервисов Google. В этом китайской компании помогут индийские разработчики, передает Economic Times.

США и Microsoft Office признаны самыми опасными для пользователей ПК: от них исходит более 70% всех угроз

Чаще всего киберпреступники используют для атак на пользователей уязвимости в приложениях пакета Microsoft Office. Список самых опасных программ, ставящих под угрозу личные данные пользователей, подготовил ресурс PreciseSecurity.

Появился новый канал утечек личных данных

В 2019 году персональные сведения россиян стали утекать через IT-специалистов: пока число инцидентов невелико (менее 2%), но по объему похищенной информации на этот канал может приходиться 25−30%.

Реклама

По вопросам размещения рекламы обращайтесь в отдел рекламы

Реклама наших партнеров

 

10 января 2020

Миллионы домашних камер оказались беззащитны для взлома с устройств под iOS и Android

В течение трех недель база данных, содержавшая информацию о клиентах производителя устройств интернета вещей Wyze, оставалась общедоступной. Снова речь идет о неправильно настроенной базе данных Elasticsearch.

И

звестный во всем мире поставщик решений интернета вещей Wyze Labs признал, что данные значительного количества клиентов компании в течение трех недель лежали в открытом доступе. На одном из серверов компании была некорректно настроена база данных Elasticsearch, и это могло привести к компрометации данных 2,4 млн клиентов.

Wyze производит смарт-устройства для дома и беспроводные камеры, так что большая часть потенциальных жертв — частные пользователи.

По данным компании Twelve Security, база оказалась в открытом доступе 4 декабря 2019 г., и до 26 декабря оставалась общедоступной. Незащищенными оказались имена и почтовые адреса покупателей беспроводных камер Wyze, а также членов их семей, которым был предоставлен доступ к панели управления камерами, список всех камер, установленных в каждом конкретном доме, с информацией об их обозначении, модели и версии прошивки, SSID-идентификаторы сетей Wi-Fi, подробности относительно включения камер и входа в управляющие приложения, API-токены для 24 тыс. пользователей, подключивших свои устройства Alexa к камерам Wyze. Кроме того, в базе данных содержались приватные медицинские сведения о некоторой части пользователей. В Twelve Security утверждают, что в базе оказались такие подробности, как показатель плотности костей и ежедневные объемы потребления белков.

Эксперты Twelve Security также указывают, что им удалось найти API-токены, которые позволят хакерам получать доступ к пользовательским аккаунтам Wyze с любого устройства под управлением iOS или Android.

Данные об утечке независимо подтвердили авторы блога IPVM, специализирующегося на инструментах для слежения.

Сооснователь Wyze Дуншен Сун (Dongsheng Song), со своей стороны, признал утечку, но отметил, что Twelve Security и IPVM раскрыли информацию об утечке, не дав Wyze времени исправить проблему. Вечером 26 декабря 2019 г. Wyze получила информацию от одного из авторов IPVM.com, а спустя 15 минут сообщение об этом инциденте уже было опубликовано в Twitter.

Более того, по словам Суна, далеко не все в публикации IPVM соответствует действительности: например, информация от Wyze не поступает в облако Alibaba в Китае, а что касается медицинской информации, то она была получена только от 140 участников бета-тестирования нового продукта, который разрабатывается в Wyze. В компании также отрицают сбор информации о костях и потреблении белков пользователей

По утверждению самой компании Wyze, база данных создавалась для внутреннего использования, а общедоступной оказалась из-за ошибки отдельно взятого работника.

У всех пользователей продуктов Wyze отозваны токены авторизации, то есть, им придется заново войти в панели управления своих устройств. Аннулирована также интеграция камер Wyze с Alexa, The Google Assistant и IFTTT: их понадобится переподключить заново. Кроме этого, компания меняет настройки безопасности у своих камер, так что в ближайшие дни их придется перезапускать.

«За прошедшие пару лет произошло множество инцидентов, когда в Сети обнаруживались общедоступные базы данных Elasticsearch, ставившие под угрозу от сотен тысяч до миллиардов записей разной степени конфиденциальности, — говорит Олег Галушкин, генеральный директор компании SEC Consult Services. — Все инциденты вызваны одной и той же проблемой: ошибками в настройках безопасности, допущенных сотрудниками претерпевших утечку организаций. Для поиска уязвимых баз вовсю используются технические средства, то есть автоматизированные поисковики, так что можно гарантировать неоднократное повторение подобных инцидентов».

Источник: CNews

Комментарии

0 / 0
0 / 0

Прокомментировать







 

Горячие темы

 
 




Rambler's Top100
Руководителям  |  Разработчикам  |  Производителям  |  Снабженцам
© 2007 - 2020 Издательский дом Электроника
Использование любых бесплатных материалов разрешено, при условии наличия ссылки на сайт «Время электроники».
Создание сайтаFractalla Design | Сделано на CMS DJEM ®
Контакты