信息來源:FreeBuf
Wyze是一家銷售安全設備的物聯(lián)網(wǎng)公司,如安全攝像機�����、智能插頭�����、智能燈泡和智能門鎖等�。該公司昨日證實發(fā)生了服務器數(shù)據(jù)泄漏事件�,該事件泄露了大約240萬客戶的詳細信息�。此外�,該240萬用戶的詳細信息在網(wǎng)上暴露了22天。
Wyze聯(lián)合創(chuàng)始人宋東升在圣誕節(jié)期間發(fā)表論壇帖子說�,該事件是內(nèi)部數(shù)據(jù)庫意外暴露在網(wǎng)上導致的。宋說�����,曝光的數(shù)據(jù)庫是一個Elasticsearch系統(tǒng)����,不是生產(chǎn)系統(tǒng)。但是���,服務器存儲著有效的用戶數(shù)據(jù)�����。Elasticsearch服務器運用了一種支持超快速搜索查詢的技術(shù)���,旨在幫助該公司對大量用戶數(shù)據(jù)進行分類����。
對此���,Wyze高管說明:為了幫助管理Wyze快速增長的用戶群體�,我們最近啟動了一個新的內(nèi)部項目�����,用來衡量基本的業(yè)務指標�,例如設備激活、連接失敗率等���。我們從主要生產(chǎn)服務器復制了一些數(shù)據(jù)����,并將其放入更靈活的數(shù)據(jù)庫中�,以便于查詢。最初創(chuàng)建此新數(shù)據(jù)表時���,該數(shù)據(jù)表是安全的�。但是����,Wyze員工在12月4日使用此數(shù)據(jù)庫時犯了一個錯誤���,導致該數(shù)據(jù)表先前的安全協(xié)議被刪除��。我們?nèi)栽谡{(diào)查此事件����,以找出發(fā)生原因和方式�。
泄漏數(shù)據(jù)的服務器是由網(wǎng)絡安全咨詢公司Twelve Security發(fā)現(xiàn)并記錄的,并由IPVM(致力于視頻監(jiān)控產(chǎn)品的博客)的記者進行了確認���。
宋對Twelve Security和IPVM雙方處理數(shù)據(jù)泄露的方式表示不滿�����,在公開調(diào)查結(jié)果之前��,Wyze僅用了14分鐘的時間解決了數(shù)據(jù)泄漏的問題���。
IPVM.com的一位記者于12月26日上午9點21分通過支持票與我們?nèi)〉昧寺?lián)系����。隨后迅速報道了該資訊(在上午9:35發(fā)表至Twitter)�。一家私人安全公司的博客文章也于12月26日發(fā)布。我們在大約上午10點才從該文章的社區(qū)成員那里獲悉���。
宋確認該服務器暴露了客戶的詳細信息���,例如用于創(chuàng)建Wyze帳戶的客戶電子郵件地址、為Wyze安全攝像頭分配的昵稱用戶�����、WiFi網(wǎng)絡SSID標識符以及24000位用戶的AlexaToken�,Wyze設備通過這些登錄授權(quán)可以連接到Alexa設備。
Wyze高管否認Wyze API登錄授權(quán)是通過服務器公開的���。Twelve Security在其博客文章中聲稱��,他們找到了API Token�����,他們說這些Token可以使黑客任意訪問iOS或Android設備的Wyze帳戶。
其次�����,宋還否認了Twelve Security的說法����,即他們正在將用戶數(shù)據(jù)發(fā)送回中國的阿里云服務器。
第三�,宋還澄清了Twelve Security聲稱Wyze正在收集客戶的健康信息。Wyze高管說����,他們只收集了正在對新的智能秤產(chǎn)品進行Beta測試的140位用戶的健康數(shù)據(jù)。
宋沒有否認Wyze收集的身高����、體重和性別詳細信息。但是�����,他確實否認了其他的收集信息。
“我們從未收集過骨密度和每日蛋白質(zhì)攝入量�����,我們還沒有規(guī)模能做到那個層面���?���!?Wyze高管說�����。
就目前而言�����,涉及該事件披露的三方在一些具體泄漏的細節(jié)方面似乎不一致�。不論如何,Wyze都表示決定強制注銷所有Wyze賬戶���。與所有第三方應用程序集成不同����,在用戶重新登錄并將Alexa設備重新連接到Wyze帳戶這兩個步驟之后,就可以生成新的Wyze API Token和Alexa Token���。
