物聯(lián)網(wǎng)供應(yīng)商Wyze已確認(rèn)其服務(wù)器發(fā)生信息泄露

（文章來源：cnBeta）

據(jù)外媒ZDNet報(bào)道，Wyze是一家銷售安全設(shè)備（如安全攝像頭、智能插頭，智能燈泡和智能門鎖）的公司，該公司周日證實(shí)發(fā)生了服務(wù)器泄露，大約240萬客戶的詳細(xì)信息遭泄露。Wyze聯(lián)合創(chuàng)始人在圣誕節(jié)期間發(fā)表的論壇帖子中說，泄露是在內(nèi)部數(shù)據(jù)庫意外在線暴露之后發(fā)生的。

該公司表示，公開的數(shù)據(jù)庫-一個(gè)Elasticsearch系統(tǒng)-不是生產(chǎn)系統(tǒng)；但是，服務(wù)器正在存儲(chǔ)有效的用戶數(shù)據(jù)。ElasTIcsearch服務(wù)器是一種用于支持超快速搜索查詢的技術(shù)，旨在幫助該公司對(duì)大量用戶數(shù)據(jù)進(jìn)行分類。該公司表示：“ 為了幫助管理Wyze的快速增長(zhǎng)，我們最近啟動(dòng)了一個(gè)新的內(nèi)部項(xiàng)目，以尋找更好的方法來衡量基本的業(yè)務(wù)指標(biāo)，例如設(shè)備激活，連接失敗率等。

我們從主要生產(chǎn)服務(wù)器復(fù)制了一些數(shù)據(jù)，并將其放入更靈活的數(shù)據(jù)庫中，以便于查詢。最初創(chuàng)建此新數(shù)據(jù)表時(shí)，該表受到了保護(hù)。但是，Wyze員工在12月4日使用此數(shù)據(jù)庫時(shí)犯了一個(gè)錯(cuò)誤，并且該數(shù)據(jù)的先前安全協(xié)議已刪除。我們?nèi)栽谡{(diào)查此事件，以找出原因和發(fā)生方式?！毙孤兜姆?wù)器是由網(wǎng)絡(luò)安全咨詢公司Twelve Security發(fā)現(xiàn)并記錄的，并由IPVM（一個(gè)致力于視頻監(jiān)控產(chǎn)品的博客）的記者進(jìn)行了獨(dú)立驗(yàn)證。

Wyze公司對(duì)Twelve Security和IPVM如何處理數(shù)據(jù)泄漏公開表示不滿，在公開調(diào)查結(jié)果之前，Wyze僅用了14分鐘的時(shí)間解決了泄露問題?！拔覀兪?2月26日上午9:21通過IPVM.com的記者通過支持票與我們聯(lián)系的。該文章幾乎是在緊隨其后發(fā)布的（上午9:35發(fā)布到Twitter）。一家私人安全公司的博客文章也于12月26日發(fā)布。我們?cè)诖蠹s上午10:00時(shí)已從閱讀該文章的社區(qū)成員那里獲悉了這篇文章?！?/p>

Wyze確認(rèn)泄露的服務(wù)器暴露了詳細(xì)信息，例如用于創(chuàng)建Wyze帳戶的客戶電子郵件地址，分配給Wyze安全攝像機(jī)的昵稱用戶，WiFi網(wǎng)絡(luò)SSID標(biāo)識(shí)符以及對(duì)于24000位用戶而言的Alexa令牌，這些令牌將Wyze設(shè)備連接到Alexa設(shè)備。

Wyze高管否認(rèn)Wyze API令牌是通過服務(wù)器公開的。Twelve Security在其博客文章中聲稱，他們找到了API令牌，他們說這些令牌可以使黑客從任何iOS或Android設(shè)備訪問Wyze帳戶。不過Wyze否認(rèn)了Twelve Security的說法，即他們正在將用戶數(shù)據(jù)發(fā)送回阿里云服務(wù)器。

第三，Wyze還澄清了Twelve Security聲稱Wyze正在收集健康信息的說法。該公司表示，他們只從140個(gè)正在對(duì)新的智能秤產(chǎn)品進(jìn)行Beta測(cè)試的用戶中收集健康數(shù)據(jù)。Wyze沒有否認(rèn)其收集的身高，體重和性別信息。但是，他確實(shí)否認(rèn)了其他方面?！拔覀儚奈词占^骨密度和每日蛋白質(zhì)攝入量。我們希望我們的規(guī)模如此之大?！?/p>

就目前而言，涉及此泄露的披露三方在此特定泄露事件的細(xì)節(jié)方面似乎不一致。無論哪種方式，Wyze都表示決定從所有帳戶中強(qiáng)制注銷所有Wyze用戶，并且與所有第三方應(yīng)用程序集成不同，這兩個(gè)步驟將在用戶重新登錄并重新鏈接Alexa設(shè)備到Wyze帳戶后生成新的Wyze API令牌和Alexa令牌。
? ? ? ?