Cyberthreat.id – Wyze—perusahaan yang menjual perangkat pintar seperti kamera keamanan, lampu pintar, dan kunci pintu pintar—mengonfirmasi telah mengalami kebocoran server. Akibatnya, rincian informasi sekitar 2,4 juta pelanggan terkena dampak.

Pelanggaran data tersebut setelah sebuah database internal secara tidak sengaja terekspose secara online, demikian disampaikan salah Co-Founder Wyze, Dongsheng Song, seperti dikutip dari ZDNet, Minggu (29 Desember 2019).

Song mengatakan database yang terbuka–yang menggunakan sistem Elasticsearch–bukan sistem produksi, tapi server yang menyimpan data pengguna yang valid. Server Elasticsearch adalah sebuah teknologi untuk menjalankan permintaan pencarian super cepat dan dibuat untuk membantu perusahaan memilah-milah data pengguna dalam jumlah yang sangat besar.

"Untuk membantu mengelola pertumbuhan Wyze yang sangat cepat, kami baru-baru ini memulai proyek internal baru untuk menemukan cara yang lebih baik untuk mengukur metrik bisnis dasar seperti aktivasi perangkat, tingkat koneksi yang gagal, dll.,” kata Wyze.

“Kami menyalin beberapa data dari server produksi utama kami dan memasukkannya ke dalam basis data yang lebih fleksibel yang lebih mudah untuk di-query.”

“Tabel data baru ini dilindungi ketika pertama dibuat. Namun, kesalahan dilakukan oleh karyawan Wyze pada 4 Desember lalu ketika mereka menggunakan database dan protokol keamanan untuk data ini terhapus. Kami masih mencari tahu mengapa dan bagaimana ini terjadi,” Song menambahkan.

Server yang bocor ditemukan dan didokumentasikan oleh perusahaan konsultan keamanan siber, Twelve Security, dan diverifikasi secara independen oleh wartawan dari IPVM.com, sebuah blog yang didedikasikan untuk produk-produk pengawasan video.

Song juga merasa kecewa karena Twelve Security dan IPVM hanya memberi waktu 14 menit untuk menangani kebocoran data itu.

"Kami pertama kali dihubungi pada pukul 09.21 pada 26 Desember oleh seorang reporter di IPVM.com. Artikel ini diterbitkan segera di Twitter pada pukul 9.35. Itu diterbitkan bersamaan dengan postingan blog dari perusahaan keamanan swasta (Twelve Security) tanggal yang sama. Kami diberi tahu tentang artikel ini pada pukul 10.00 dari anggota komunitas yang telah membaca artikel tersebut,” ujar Song.

Song mengonfirmasi bahwa server yang bocor itu mengekspose detail seperti alamat email yang digunakan pelanggan untuk membuat akun Wyze, nama panggilan yang diberikan pengguna ke kamera keamanan Wyze, pengidentifikasi SSID jaringan wi-fi, dan 24.000 pengguna token Alexa yang menghubungkan perangkat Wyze ke perangkat Alexa.

Song membantah bahwa API dari token Wyze terekspose melalui server. Namun, Twelve Security mengklaim mereka menemukan token API yang memungkinkan peretas untuk mengakses akun Wyze dari perangkat iOS atau Android.

Song juga membantah klaim Twelve Security bahwa mereka mengirim data pengguna kembali ke server Alibaba Cloud di China.

Ketiga, Song juga mengklarifikasi klaim Twelve Security bahwa Wyze mengumpulkan informasi kesehatan. Song mengatakan, perusahaan hanya mengumpulkan data kesehatan dari 140 pengguna dalam format uji coba untuk produk terbaru.

Song mengakui Wyze mengumpulkan informasi tentang tinggi badan, berat badan, dan gender. Namun, "Kami tidak pernah mengumpulkan kepadatan tulang dan asupan protein harian," kata dia.