物聯(lián)網(wǎng)供應商Wyze已確認其服務器發(fā)生信息泄露
(文章來源:cnBeta)
據(jù)外媒ZDNet報道,Wyze是一家銷售安全設備(如安全攝像頭、智能插頭,智能燈泡和智能門鎖)的公司,該公司周日證實發(fā)生了服務器泄露,大約240萬客戶的詳細信息遭泄露。Wyze聯(lián)合創(chuàng)始人在圣誕節(jié)期間發(fā)表的論壇帖子中說,泄露是在內(nèi)部數(shù)據(jù)庫意外在線暴露之后發(fā)生的。
該公司表示,公開的數(shù)據(jù)庫-一個Elasticsearch系統(tǒng)-不是生產(chǎn)系統(tǒng);但是,服務器正在存儲有效的用戶數(shù)據(jù)。ElasTIcsearch服務器是一種用于支持超快速搜索查詢的技術,旨在幫助該公司對大量用戶數(shù)據(jù)進行分類。該公司表示:“ 為了幫助管理Wyze的快速增長,我們最近啟動了一個新的內(nèi)部項目,以尋找更好的方法來衡量基本的業(yè)務指標,例如設備激活,連接失敗率等。
我們從主要生產(chǎn)服務器復制了一些數(shù)據(jù),并將其放入更靈活的數(shù)據(jù)庫中,以便于查詢。最初創(chuàng)建此新數(shù)據(jù)表時,該表受到了保護。但是,Wyze員工在12月4日使用此數(shù)據(jù)庫時犯了一個錯誤,并且該數(shù)據(jù)的先前安全協(xié)議已刪除。我們?nèi)栽谡{(diào)查此事件,以找出原因和發(fā)生方式?!毙孤兜姆掌魇怯删W(wǎng)絡安全咨詢公司Twelve Security發(fā)現(xiàn)并記錄的,并由IPVM(一個致力于視頻監(jiān)控產(chǎn)品的博客)的記者進行了獨立驗證。
Wyze公司對Twelve Security和IPVM如何處理數(shù)據(jù)泄漏公開表示不滿,在公開調(diào)查結果之前,Wyze僅用了14分鐘的時間解決了泄露問題?!拔覀兪?2月26日上午9:21通過IPVM.com的記者通過支持票與我們聯(lián)系的。該文章幾乎是在緊隨其后發(fā)布的(上午9:35發(fā)布到Twitter)。一家私人安全公司的博客文章也于12月26日發(fā)布。我們在大約上午10:00時已從閱讀該文章的社區(qū)成員那里獲悉了這篇文章?!?/p>
Wyze確認泄露的服務器暴露了詳細信息,例如用于創(chuàng)建Wyze帳戶的客戶電子郵件地址,分配給Wyze安全攝像機的昵稱用戶,WiFi網(wǎng)絡SSID標識符以及對于24000位用戶而言的Alexa令牌,這些令牌將Wyze設備連接到Alexa設備。
Wyze高管否認Wyze API令牌是通過服務器公開的。Twelve Security在其博客文章中聲稱,他們找到了API令牌,他們說這些令牌可以使黑客從任何iOS或Android設備訪問Wyze帳戶。不過Wyze否認了Twelve Security的說法,即他們正在將用戶數(shù)據(jù)發(fā)送回阿里云服務器。
第三,Wyze還澄清了Twelve Security聲稱Wyze正在收集健康信息的說法。該公司表示,他們只從140個正在對新的智能秤產(chǎn)品進行Beta測試的用戶中收集健康數(shù)據(jù)。Wyze沒有否認其收集的身高,體重和性別信息。但是,他確實否認了其他方面?!拔覀儚奈词占^骨密度和每日蛋白質(zhì)攝入量。我們希望我們的規(guī)模如此之大?!?/p>
就目前而言,涉及此泄露的披露三方在此特定泄露事件的細節(jié)方面似乎不一致。無論哪種方式,Wyze都表示決定從所有帳戶中強制注銷所有Wyze用戶,并且與所有第三方應用程序集成不同,這兩個步驟將在用戶重新登錄并重新鏈接Alexa設備到Wyze帳戶后生成新的Wyze API令牌和Alexa令牌。
? ? ? ?