一家销售智能设备的公司,如安全摄像头、智能插头、智能灯泡和智能门锁,今天证实了服务器泄露,泄露了大约240万用户的信息。
Wyze联合创始人宋东升在圣诞节期间发表的一篇论坛帖子中说,一个内部数据库被意外地暴露在网上,导致了这次泄露。
宋表示,暴露的数据库——一个Elasticsearch系统——不是一个生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种支持超高速搜索查询的技术,它的建立是为了帮助公司对大量用户数据进行排序。Wyze高管解释道:
“为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以找到更好的方法来测量基本的业务指标,如设备激活率、失败连接率等。
我们从主要的生产服务器中复制了一些数据,并将其放入更灵活的数据库中,以便于查询。这个新的数据表在最初创建时是受保护的。然而,12月4日,Wyze的一名员工在使用该数据库时犯了一个错误,删除了该数据之前的安全协议。我们仍在调查这一事件,以找出原因和原因。”
泄露的服务器是由网络安全咨询公司Twelve Security发现并记录下来的,并由IPVM的记者独立核实。
宋表达了他对12 Security和IPVM这两家公司处理数据泄露的方式的不满,他只给了Wyze 14分钟的时间来修复泄漏,然后将他们的发现公之于众。
“12月26日上午9点21分,IPVM.com的一名记者通过支持票联系了我们。这篇文章几乎立即发表(上午9点35分在Twitter上发表)。12月26日,这篇文章与一家私人安全公司的博客文章同时发布。我们是在上午10点左右从一位读过这篇文章的社区成员那里得知这篇文章的。”
宋证实,泄露的服务器暴露了客户用于创建Wyze账户的电子邮件地址、分配给Wyze安全摄像头的用户昵称、WiFi网络SSID标识,以及24000名用户用于连接Wyze设备和Alexa设备的Alexa令牌等细节。
Wyze exec否认Wyze API令牌是通过服务器公开的。在其博客文章中,12名安全人员声称他们发现了API令牌,他们说这些令牌允许黑客从任何iOS或Android设备访问Wyze账户。
第二,宋还否认了12家安全公司的说法,他们正在把用户数据发送回阿里巴巴在的云服务器。
第三,宋还澄清了12项关于威兹收集健康信息的安全声明。Wyze的执行人员表示,他们只收集了140名用户的健康数据,这些用户正在对一种新型智能产品进行beta测试。
宋没有否认怀兹收集了身高、体重和性别信息。然而,他确实否认了其他人。
“我们从来没有收集过骨密度和每天的蛋白质摄入量,”Wyze的执行官说。“我们希望我们的秤有那么酷。”
就目前而言,泄露事件涉及的三方似乎在泄露的细节上存在分歧。不管怎样,Wyze表示,它决定强制注销所有Wyze用户的账户,并且不喜欢所有第三方应用程序整合——这两个步骤将在用户重新登录并将Alexa设备重新链接到Wyze账户时生成新的Wyze API令牌和Alexa令牌。