什锦文坊 > 数码科技 > \

240万Wyze摄像头用户数据泄露,只因员工的一个误操作

原标题:240万Wyze摄像头用户数据泄露,只因员工的一个误操作

240万Wyze摄像头用户数据泄露,只因员工的一个误操作

240万Wyze摄像头用户数据泄露,只因员工的一个误操作

智东西(公众号:zhidxcom)

编 | 云鹏

智东西12月31日消息,根据Twelve Security网络安全公司调查显示,智能安全摄像头制造商Wyze目前已泄露了约240万用户的数据,包括用户名、摄像头设备型号、Wi-Fi SSID、iOS和Android的API令牌、连接亚马逊语音助手和摄像头的Alexa令牌、用户健康数据等。

据Wyze联合创始人Dongsheng Song表示,一个员工的错误操作导致服务器的安全协议被删除,从而导致了数据的泄露。目前公司已经对所有数据服务器进行了排查,注销了所有用户信息并解除了所有三方应用绑定。Wyze成立于2017年,靠着极具性价比的家用安全摄像头,用一年时间占据了亚马逊网站上该品类的销售冠军。

一、泄露22天后才被发现

智能安全摄像头制造商Wyze的服务器于本周三泄露了大约240万用户的数据。网络安全公司Twelve Security首先发现了这一漏洞,并于周四公布了调查结果。专注于视频监控产品的IPVM公司也已证实自己的数据受到了此次泄露的影响。

Wyze联合创始人Dongsheng Song表示,此次泄露信息的服务器不是生产服务器,而是一个“可变动数据库(flexible database)”,是为了让客户更快捷地查询数据而创建的。Song说,一个员工的错误操作导致服务器的安全协议在12月4日被删除,直到12月26日公司才意识到这个问题。

二、涉及众多三方应用和设备

Twelve Security表示,该服务器泄露的信息包括用户名、电子邮件地址、摄像头昵称、设备型号、固件信息、Wi-Fi SSID详细信息、iOS和Android的API令牌,以及连接亚马逊语音助手和安全摄像头的用户的Alexa令牌等信息。

Wyze称泄露的数据库中并没有用户密码。Twelve Security还声称数据库中包含了大量的用户健康信息,包括身高、体重、骨密度和每日蛋白质摄入量。Song说,这是因为目前公司在对一种新的智能秤进行测试,所以会有一些用户健康信息。

Twelve Security甚至声称,有“明显迹象”显示,这些数据正在中国被发送到阿里巴巴云。Song对此并不认同。他说尽管Wyze在中国有员工和制造合作伙伴,但他们并不使用阿里巴巴的云服务,并且不与任何政府机构共享用户数据。

三、注销所有用户,彻查全部服务器

Song说,针对这一安全漏洞,Wyze已经开始对其所有服务器和数据库进行审查,并发现了另一个存在安全隐患的数据库。他还说,公司当前正在对其安全准则进行彻底检查。同时他也表示,Wyze用户应谨防网络钓鱼攻击。目前该公司已将所有用户从其帐户中注销,并解除了第三方应用绑定,试图弥补因API和Alexa令牌泄露而造成的安全漏洞。

今年Wyze的日子很艰难。早在7月份,该公司曾为其具有一定性价比的安全摄像头推出了一项AI技术驱动的运动物体检测功能,结果在11月,提供这一技术的AI初创公司就退出了该项目,也让这一功能的未来变得充满不确定性。

Song强调到,尽管公司的产品定价不高,但这并不意味着他们不重视安全问题。“我们经常听到有人说,‘一分价钱一分货’,Wyze的产品因为便宜所以就不安全,但事实并非如此。”Song补充到,“我们一直非常重视安全性,我们对此次以这种方式让用户失望也感到非常震惊。”

显示全文

相关文章