智能安全摄像头制造商承认,一台不安全的服务器在三周内公开了Wyze客户的数据。网络安全公司12security于12月26日公布了调查结果,而专注于视频监控产品的博客IPVM则能够证实自己的数据受到了泄漏的影响。据十二安全公司称,约240万Wyze客户的数据遭到泄露。
WISZ联合创始人东胜歌在一个论坛上公布了向用户泄露的消息后写道,裸露的服务器不是生产服务器,而是一个“灵活的数据库”,是为了让客户数据更快地被查询而创建的。这位联合创始人说,一个员工的错误导致服务器的安全协议在12月4日被删除,直到12月26日公司意识到这个问题,数据才被曝光。
“我们一直非常重视安全问题,我们对让用户如此失望感到非常痛心。”十二安全在其关于泄密的博客文章中说,该服务器包括用户名、电子邮件地址、摄像头昵称、设备型号、固件信息、Wi-Fi SSID详细信息、iOS和Android的API令牌,以及连接亚马逊语音助手和安全摄像头的用户的Alexa令牌等信息。(Wyze说数据库中没有用户密码)网络安全公司还声称数据库中包含了大量的健康信息,包括身高、体重、骨密度和每日蛋白质摄入量。宋证实,由于对一种新的智能秤产品进行了beta测试,一些健康信息得以呈现,但对其曾收集过骨密度和每日蛋白质摄入量的信息表示异议。
十二安全甚至声称,有“明显迹象”显示,这些数据正在中国被发送到阿里巴巴云。宋的论坛帖子对此表示异议。他说,Wyze不使用阿里巴巴云,尽管它在中国有员工和制造合作伙伴,但它不与任何政府机构共享用户数据。
针对这一安全漏洞,宋说,Wyze已经开始对其所有服务器和数据库进行审计,并发现了另一个未受保护的数据库。他还说,该公司正在重新审视其安全准则的“所有方面”。同时,该联合创始人表示,Wyze用户应谨防网络钓鱼攻击,该公司已将所有用户从其帐户中注销,并解除其第三方集成的链接,以试图弥补因API和Alexa令牌受损而造成的安全漏洞。
数据泄露发生在Wyze艰难的一年结束之际。早在7月份,该公司就宣布推出了一项新的人工智能的人员检测功能,用于其价格合理的安全摄像头,结果在11月份,与该功能合作的人工智能初创公司退出了该功能,这让人对该功能的未来产生了怀疑。同一个月,由于未指明的“关键问题”,其订阅服务的推出也需要推迟
宋热切地强调,该公司的预算价格并不意味着它不再重视安全问题。“我们经常听到有人说,‘你为你得到的东西付钱’,假设Wyze的产品不那么安全,因为它们比较便宜。这不是真的,”联合创始人写道。“我们一直非常重视安全性,我们对这样让用户失望感到非常震惊。”
声明:本文由易百纳技术社区编写,文章内容来自The verge,版权归原作者所有,转载请注明出处,如有侵权请联系删除。
