I dispositivi di smart home sono comodi, ma possono rappresentare un rischio per la privacy. L’ennesimo caso di data breach riguarda le webcam, le lampadine smart e altri dispositivi di Wyze, un produttore con quartiere generale a Seattle ma di fondazione cino-statunitense, attivo da un paio d’anni e acquistabile sia su Amazon sia su Ali Express. Un archivio di dati personali di 2,4 milioni di clienti di Wyze è stato trovato online: è rimasto liberamente accessibile a occhi indiscreti per settimane.  

L’autore della scoperta, un ricercatore della società Twelve Security, ha scritto che “personalmente, in dieci anni di lavoro come amministratore di sistemi e ingegnere cloud, non mi ero mai imbattuto in una violazione di tale portata”. La violazione è stata poi confermata da altri ricercatori e dalla stessa Wyze, che ha tentato di minimizzare.

L’archivio comprendeva indirizzi email usati per la registrazione dei prodotti, nickname assegnati alle videocamere, specifiche sui modelli e sul firmware, informazioni sulle connessioni Wi-Fi. Ma figuravano anche dati di altro genere, quelli di 140 beta tester che avevano collegato le webcam e lampadine smart di Wyze ai loro dispositivi Amazon Echo: da qui la fuga di dati relativi agli account di Alexa, inclusi età anagrafica, genere, peso, altezza, massa corporea degli utenti. Nessuna password né dati di carta di credito, invece, sembrano essere stati trafugati.

 

Come è potuto succedere? A detta di Dongsheng Song, cofondatore e chief product officer di Wyze, si è trattato di un errore umano. “Abbiamo copiato alcuni dati dai server della nostra produzione principale verso un database più flessibile, più facile da interrogare”, ha scritto Song. “Questa nuova tabella di dati è stata protetta nel momento della sua creazione. Tuttavia, il 4 di dicembre un dipendente di Wyze ha commesso un errore mentre il database era in uso e i precedenti protocolli di sicurezza per quei dati erano stati rimossi”.

 

Il ricercatore di Twelve Security non è convinto della buona fede dell’azienda. “Essendoci chiare indicazioni del fatto che i dati sono stati rimandati indietro su Alibaba Cloud in Cina e considerando che una simile violazione di Wyze è accaduta appena sei mesi fa, non è stata data notifica a Wyze. L’autore di questo post sostiene tale scelta. Che si sia trattato di spionaggio intenzionale o di una grossolana negligenza, questa rimane un’azione malevola che deve trovare risposta attraverso un’indagine esterna, risoluta e rapida di autorità statunitensi”.