Wyze是一家銷售安全設備的物聯網公司，如安全攝像機、智能插頭、智能燈泡和智能門鎖等。該公司昨日證實發生了服務器數據泄漏事件，該事件泄露了大約240萬客戶的詳細信息。此外，該240萬用戶的詳細信息在網上暴露了22天。

Wyze聯合創始人宋東昇在聖誕節期間發表論壇帖子說，該事件是內部數據庫意外暴露在網上導致的。宋說，曝光的數據庫是一個Elasticsearch系統，不是生產系統。但是，服務器存儲着有效的用戶數據。Elasticsearch服務器運用了一種支持超快速搜索查詢的技術，旨在幫助該公司對大量用戶數據進行分類。

對此，Wyze高管說明：

爲了幫助管理Wyze快速增長的用戶羣體，我們最近啓動了一個新的內部項目，用來衡量基本的業務指標，例如設備激活、連接失敗率等。我們從主要生產服務器複製了一些數據，並將其放入更靈活的數據庫中，以便於查詢。最初創建此新數據表時，該數據表是安全的。但是，Wyze員工在12月4日使用此數據庫時犯了一個錯誤，導致該數據表先前的安全協議被刪除。我們仍在調查此事件，以找出發生原因和方式。

泄漏數據的服務器是由網絡安全諮詢公司Twelve Security發現並記錄的，並由IPVM（致力於視頻監控產品的博客）的記者進行了確認。

宋對Twelve Security和IPVM雙方處理數據泄露的方式表示不滿，在公開調查結果之前，Wyze僅用了14分鐘的時間解決了數據泄漏的問題。

IPVM.com的一位記者於12月26日上午9點21分通過支持票與我們取得了聯繫。隨後迅速報道了該資訊（在上午9:35發表至Twitter）。一傢俬人安全公司的博客文章也於12月26日發佈。我們在大約上午10點才從該文章的社區成員那裏獲悉。

宋確認該服務器暴露了客戶的詳細信息，例如用於創建Wyze帳戶的客戶電子郵件地址、爲Wyze安全攝像頭分配的暱稱用戶、WiFi網絡SSID標識符以及24000位用戶的AlexaToken，Wyze設備通過這些登錄授權可以連接到Alexa設備。

Wyze高管否認Wyze API登錄授權是通過服務器公開的。Twelve Security在其博客文章中聲稱，他們找到了API Token，他們說這些Token可以使黑客任意訪問iOS或Android設備的Wyze帳戶。

其次，宋還否認了Twelve Security的說法，即他們正在將用戶數據發送回中國的阿里雲服務器。

第三，宋還澄清了Twelve Security聲稱Wyze正在收集客戶的健康信息。Wyze高管說，他們只收集了正在對新的智能秤產品進行Beta測試的140位用戶的健康數據。

宋沒有否認Wyze收集的身高、體重和性別詳細信息。但是，他確實否認了其他的收集信息。

“我們從未收集過骨密度和每日蛋白質攝入量，我們還沒有規模能做到那個層面。” Wyze高管說。

就目前而言，涉及該事件披露的三方在一些具體泄漏的細節方面似乎不一致。不論如何，Wyze都表示決定強制註銷所有Wyze賬戶。與所有第三方應用程序集成不同，在用戶重新登錄並將Alexa設備重新連接到Wyze帳戶這兩個步驟之後，就可以生成新的Wyze API Token和Alexa Token。

相關文章