安全動態(tài)

物聯(lián)網(wǎng)供應(yīng)商Wyze確認(rèn)服務(wù)器數(shù)據(jù)泄漏

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2019-12-30    瀏覽次數(shù):
 

信息來源:FreeBuf

Wyze是一家銷售安全設(shè)備的物聯(lián)網(wǎng)公司,如安全攝像機(jī)、智能插頭、智能燈泡和智能門鎖等。該公司昨日證實發(fā)生了服務(wù)器數(shù)據(jù)泄漏事件,該事件泄露了大約240萬客戶的詳細(xì)信息。此外,該240萬用戶的詳細(xì)信息在網(wǎng)上暴露了22天。

Wyze聯(lián)合創(chuàng)始人宋東升在圣誕節(jié)期間發(fā)表論壇帖子說,該事件是內(nèi)部數(shù)據(jù)庫意外暴露在網(wǎng)上導(dǎo)致的。宋說,曝光的數(shù)據(jù)庫是一個Elasticsearch系統(tǒng),不是生產(chǎn)系統(tǒng)。但是,服務(wù)器存儲著有效的用戶數(shù)據(jù)。Elasticsearch服務(wù)器運用了一種支持超快速搜索查詢的技術(shù),旨在幫助該公司對大量用戶數(shù)據(jù)進(jìn)行分類。

對此,Wyze高管說明:為了幫助管理Wyze快速增長的用戶群體,我們最近啟動了一個新的內(nèi)部項目,用來衡量基本的業(yè)務(wù)指標(biāo),例如設(shè)備激活、連接失敗率等。我們從主要生產(chǎn)服務(wù)器復(fù)制了一些數(shù)據(jù),并將其放入更靈活的數(shù)據(jù)庫中,以便于查詢。最初創(chuàng)建此新數(shù)據(jù)表時,該數(shù)據(jù)表是安全的。但是,Wyze員工在12月4日使用此數(shù)據(jù)庫時犯了一個錯誤,導(dǎo)致該數(shù)據(jù)表先前的安全協(xié)議被刪除。我們?nèi)栽谡{(diào)查此事件,以找出發(fā)生原因和方式。

泄漏數(shù)據(jù)的服務(wù)器是由網(wǎng)絡(luò)安全咨詢公司Twelve Security發(fā)現(xiàn)并記錄的,并由IPVM(致力于視頻監(jiān)控產(chǎn)品的博客)的記者進(jìn)行了確認(rèn)。

宋對Twelve Security和IPVM雙方處理數(shù)據(jù)泄露的方式表示不滿,在公開調(diào)查結(jié)果之前,Wyze僅用了14分鐘的時間解決了數(shù)據(jù)泄漏的問題。

IPVM.com的一位記者于12月26日上午9點21分通過支持票與我們?nèi)〉昧寺?lián)系。隨后迅速報道了該資訊(在上午9:35發(fā)表至Twitter)。一家私人安全公司的博客文章也于12月26日發(fā)布。我們在大約上午10點才從該文章的社區(qū)成員那里獲悉。

宋確認(rèn)該服務(wù)器暴露了客戶的詳細(xì)信息,例如用于創(chuàng)建Wyze帳戶的客戶電子郵件地址、為Wyze安全攝像頭分配的昵稱用戶、WiFi網(wǎng)絡(luò)SSID標(biāo)識符以及24000位用戶的AlexaToken,Wyze設(shè)備通過這些登錄授權(quán)可以連接到Alexa設(shè)備。

Wyze高管否認(rèn)Wyze API登錄授權(quán)是通過服務(wù)器公開的。Twelve Security在其博客文章中聲稱,他們找到了API Token,他們說這些Token可以使黑客任意訪問iOS或Android設(shè)備的Wyze帳戶。

其次,宋還否認(rèn)了Twelve Security的說法,即他們正在將用戶數(shù)據(jù)發(fā)送回中國的阿里云服務(wù)器。

第三,宋還澄清了Twelve Security聲稱Wyze正在收集客戶的健康信息。Wyze高管說,他們只收集了正在對新的智能秤產(chǎn)品進(jìn)行Beta測試的140位用戶的健康數(shù)據(jù)。

宋沒有否認(rèn)Wyze收集的身高、體重和性別詳細(xì)信息。但是,他確實否認(rèn)了其他的收集信息。

“我們從未收集過骨密度和每日蛋白質(zhì)攝入量,我們還沒有規(guī)模能做到那個層面。” Wyze高管說。

就目前而言,涉及該事件披露的三方在一些具體泄漏的細(xì)節(jié)方面似乎不一致。不論如何,Wyze都表示決定強(qiáng)制注銷所有Wyze賬戶。與所有第三方應(yīng)用程序集成不同,在用戶重新登錄并將Alexa設(shè)備重新連接到Wyze帳戶這兩個步驟之后,就可以生成新的Wyze API Token和Alexa Token。

 
 

上一篇:行走的漏洞利用機(jī)器人:僵尸網(wǎng)絡(luò)病毒攜71個EXP占領(lǐng)高地

下一篇:四部門聯(lián)合印發(fā)《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》