物联网供应商Wyze确认服务器数据泄漏

Wyze是一家销售安全设备的物联网公司,如安全摄像机、智能插头、智能灯泡和智能门锁等。该公司昨日证实发生了服务器数据泄漏事件,该事件泄露了大约240万客户的详细信息。此外,该240万用户的详细信息在网上暴露了22天。

Wyze联合创始人宋东升在圣诞节期间发表论坛帖子说,该事件是内部数据库意外暴露在网上导致的。宋说,曝光的数据库是一个Elasticsearch系统,不是生产系统。但是,服务器存储着有效的用户数据。Elasticsearch服务器运用了一种支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。

对此,Wyze高管说明:

为了帮助管理Wyze快速增长的用户群体,我们最近启动了一个新的内部项目,用来衡量基本的业务指标,例如设备激活、连接失败率等。我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该数据表是安全的。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,导致该数据表先前的安全协议被删除。我们仍在调查此事件,以找出发生原因和方式。

泄漏数据的服务器是由网络安全咨询公司Twelve Security发现并记录的,并由IPVM(致力于视频监控产品的博客)的记者进行了确认。

宋对Twelve Security和IPVM双方处理数据泄露的方式表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了数据泄漏的问题。

IPVM.com的一位记者于12月26日上午9点21分通过支持票与我们取得了联系。随后迅速报道了该资讯(在上午9:35发表至Twitter)。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10点才从该文章的社区成员那里获悉。

宋确认该服务器暴露了客户的详细信息,例如用于创建Wyze帐户的客户电子邮件地址、为Wyze安全摄像头分配的昵称用户、WiFi网络SSID标识符以及24000位用户的AlexaToken,Wyze设备通过这些登录授权可以连接到Alexa设备。

Wyze高管否认Wyze API登录授权是通过服务器公开的。Twelve Security在其博客文章中声称,他们找到了API Token,他们说这些Token可以使黑客任意访问iOS或Android设备的Wyze帐户。

其次,宋还否认了Twelve Security的说法,即他们正在将用户数据发送回中国的阿里云服务器。

第三,宋还澄清了Twelve Security声称Wyze正在收集客户的健康信息。Wyze高管说,他们只收集了正在对新的智能秤产品进行Beta测试的140位用户的健康数据。

宋没有否认Wyze收集的身高、体重和性别详细信息。但是,他确实否认了其他的收集信息。

“我们从未收集过骨密度和每日蛋白质摄入量,我们还没有规模能做到那个层面。” Wyze高管说。

就目前而言,涉及该事件披露的三方在一些具体泄漏的细节方面似乎不一致。不论如何,Wyze都表示决定强制注销所有Wyze账户。与所有第三方应用程序集成不同,在用户重新登录并将Alexa设备重新连接到Wyze帐户这两个步骤之后,就可以生成新的Wyze API Token和Alexa Token。