Giusto qualche giorno fa, precisamente prima di Natale, diversi media rendicontarono di una falla di sicurezza che, dopo aver coinvolto le Ring, note videocamere smart di Amazon, aveva portato all’esposizione delle password di poco meno di 3.700 utenti, suddivise in due database: qualcosa del genere, ma di proporzioni esponenzialmente maggiori, sarebbe capitato anche a un altro brand, precisamente all’emergente marchio americano Wyze, realizzatore di soluzioni low cost e smart per la videosorveglianza.
Secondo quanto anticipato da CNET nella giornata di domenica, ed oggi confermato anche da Dongsheng Song, co-founder della società, per assecondare la grande crescita di quest’ultima, si era pensato di trasferire, a scopo di test, alcuni dati in un nuovo database, che fosse più rapido nel fornire, attraverso le query, risposte statistiche sulle attivazioni che avvenivano, gli errori di connessione, etc.
Il problema, però, è sorto allorquando il dipendente addetto alla mansione non ha riattivato – sul database di destinazione – la protezione prevista su quello di origine: ciò, inevitabilmente, ha portato all’esposizione dei relativi dati, per 22 giorni, dal 4 al 26 Dicembre, data di chiusura della falla.
Ad essere stati esposti sono, per circa 2.4 milioni di utenti, dati importanti, quali la mail, che potrà essere usata per spam o phishing, i nomi delle reti cui le videocamere si connettevano, i nickname assegnati a queste ultime nella rete domestica, gli username per gli account di accesso al servizio e, nel caso di 24.000 utenti, anche i token usati per mettere in pratica l’interazione con Alexa (possibile assieme a quella per Assistant, ed al servizio di automazione IFTTT). In più, risulterebbero esser stati esposti, con conseguenti pericoli di discriminazione e/o ricatto, dati sensibili sulla salute, inerenti 140 utenti che stavano collaudando privatamente dei prototipi di nuovi prodotti.
Per tamponare il problema, oltre a promettere una revisione dei protocolli securtivi (e del modo di educarvi i dipendenti), Wyze ha assicurato d’aver disconnesso gli utenti coinvolti, sì da consentire il generarsi di nuovi token d’accesso e, come ulteriore livello di sicurezza, prospettata l’eventualità che le videocamere possano riavviarsi da qui ai prossimi giorni, ha consigliato sia di attivare l’autenticazione a due fattori, che di procedere al cambio della password.