El fabricante de cámaras domésticas y dispositivos IoT Wyze filtra los datos de 2,4 millones de usuarios

Es posible que no tenga el renombre de marcas como Ring, Netatmo o Nest, pero Wyze es una de esas compañías que pueden presumir de vender millones de dispositivos para el Internet de las Cosas. Los económicos productos de esta firma china son populares entre los aficionados a la domótica, que ahora ha reconocido la filtración de información potencialmente delicada asociada a más de dos millones de clientes.

Según ha confirmado el cofundador de Wyze Dongsheng Song, los datos en cuestión incluyen las direcciones de correo utilizadas para crear una cuenta de Wyze, los nombres de usuario asignados a las cámaras de seguridad de Wyze y los identificadores SSID de las redes Wi-Fi de 2,4 millones de usuarios fueron filtrados. Además, también se filtraron los tokens de Alexa utilizados para conectar el asistente de voz a los dispositivos de 24.000 personas. Toda esa información permaneció expuesta durante 22 días.


En un mensaje publicado en los foros oficiales de la compañía, Song indica que la compañía "copió algunos datos de los servidores de producción principal y los puso en una base de datos más flexible y fácil de consultar. Esta nueva tabla de datos fue protegida en el momento de su creación. Sin embargo, un empleado de Wyze cometió un error el 4 de diciembre al usar esta base de datos y los protocolos de seguridad para dichos datos fueron eliminados".

Según 12Security, la consultora que descubrió la filtración, "hay claras indicaciones" de que los datos en cuestión eran enviados a un servidor de Alibaba Cloud en China. También asegura que hubo una filtración similar hace seis meses sin que Wyze lo reconociera públicamente, motivo por el cual no proporcionó un aviso a la compañía, sino que informó públicamente del suceso. El cofundador de Wyze, por su parte, asegura que la compañía no utiliza Alibaba Cloud y que tampoco se produjo ninguna filtración previa.

Asimismo, 12Security afirma que la información alojada en el servidor inseguro contenía datos como el peso, la altura, el sexo, la densidad y masa ósea, la ingesta de proteínas "y otra información de salud" de un grupo de usuarios que habrían utilizado las básculas inteligentes de la compañía. Song ha negado que sus productos mantengan registros en la nube sobre la densidad ósea o ingesta de proteínas, pero no desmiente en su mensaje que esté captando otros factores como el sexo del usuario, su peso y altura.

En su mensaje en los foros oficiales, Song pide disculpas y promete aprender de sus errores, no sin antes señalar que "no es cierto" que la seguridad de los productos de Wyze esté a la altura de su reducido precio.