Hersteller von smarten Glühbirnen leakt Daten von 2 Millionen Usern

Die US-amerikanische Firma Wyze, die smarte Geräte wie Glühbirnen, Steckdosen und Überwachungskameras herstellt, gab zu, dass Daten von 2,4 Millionen Nutzern online zugänglich waren. Die veröffentlichte Datenbank gehörte zu einem Elasticsearch System, das den Mitarbeitern das Durchsuchen von Kundendatenbanken erleichtern sollte.

Beim Übersiedeln der Datenbank auf das neue Suchsystem hatte ein Mitarbeiter bereits am 4. Dezember versehentlich das neue Sicherheitsprotokoll gelöscht. Veröffentlicht wurden unter anderem E-Mailadressen, die Spitznamen der Smart Devices und WLAN-Namen. Passwörter oder Bankdaten wurden nicht veröffentlicht. 

Datenleck behoben

Am 26. Dezember hatten die IT-Sicherheitsfirma Twelve Security und der Blog IPVM zuerst über das Datenleck berichtet. In einem Beitrag im offiziellen Wyze-Forum hatte der Mitgründer der Firma, Dongsheng Song, erklärt, man habe dem Unternehmen nur 14 Minuten Zeit gegeben, um auf das Leck zu reagieren, bevor es publik gemacht wurde. Inzwischen sei das Problem behoben und nach der genauen Ursache werde weiter geforscht.

Wyze hatte ein Update an seine Nutzer gesendet, woraufhin alle Verlinkungen mit Drittanbietern wie Amazon Alexa oder Google Assistant neu konfiguriert werden mussten. Twelve Security und IPVM mutmaßten, Wyze, dessen Firmensitz sich in Seattle befindet, sende Nutzerdaten nach China. Es gebe Hinweise darauf, dass das Unternehmen den Cloud Service Alibaba nutze und man sorge sich, dass die Daten an die chinesische Regierung weitergegeben werden. Song dementiert diese Anschuldigungen. Man habe aus den Fehlern gelernt und verspreche, zukünftig Verbesserungen wie eine Zwei-Faktor-Authentifizierung anzubieten, schreibt er im Forum.