爱刨根知识网

  1. 首页 > 经验知识 > >

Wyze服务器泄漏暴露了240万用户的客户数据

生活经验知识分享


智能安全摄像头制造商承认,一台不安全的服务器在三周内暴露了Wyze客户的数据 。该漏洞最初是由网络安全公司Twelve Security发现的,该组织于12月26日发布了调查结果,而专注于视频监控产品的博客IPVM能够验证其自身数据已受到该漏洞的影响 。根据Twelve Security的说法,大约240万Wyze客户的数据受到了威胁 。
Wyze的共同创始人宋冬升在一个论坛帖子中向用户宣布了泄漏信息,他写道,公开的服务器不是生产服务器,而是一个“灵活的数据库”,其创建目的是为了更快地查询客户数据 。联合创始人说,员工错误导致该服务器的安全协议在12月4日被删除,并且直到公司意识到该问题为止,数据公开到12月26日 。
“我们一直非常重视安全性,而让我们这样的用户失望让我们感到震惊”
Twelve Security在其有关泄漏的博客文章中表示,服务器包含以下信息:用户名,电子邮件地址,相机昵称,设备型号,固件信息,Wi-Fi SSID详细信息,iOS和Android的API令牌以及来自用户的Alexa令牌将亚马逊的语音助手与他们的安全摄像头相连 。(Wyze说该数据库不包含用户密码 。)该网络安全公司还声称该数据库包含大量健康信息,包括身高,体重,骨密度和每日蛋白质摄入量 。Song证实,由于对新型智能体重秤产品进行了Beta测试,因此存在一些健康信息,但他对它曾经收集过有关骨密度和每日蛋白质摄入量的信息表示怀疑 。
十二安全甚至声称有“明确的迹象”表明数据正在发送到的阿里云 。宋的论坛帖子对此表示质疑 。他说,Wyze不使用阿里云,尽管它在有员工和制造合作伙伴,但它不与任何政府机构共享用户数据 。
为了应对安全漏洞,Song说Wyze已开始对其所有服务器和数据库进行审核,并发现了另一个不受保护的数据库 。他还说,该公司正在重新审查其安全指南的“所有方面” 。同时,联合创始人表示Wyze用户应提防网络钓鱼攻击,并且该公司已将其所有用户从其帐户中注销,并取消了与第三方集成的链接,以试图弥补由受到感染的API造成的安全漏洞和Alexa代币 。
数据泄漏发生在Wyze艰难的一年结束之际 。该公司早在7月就宣布了其价格实惠的安全摄像机的一项新的基于AI的人员检测功能,但与之合作的AI初创公司却在11月退出了该功能,这对该功能的未来产生了怀疑 。由于未指定的“关键问题”,其订阅服务的发布也需要在当月推迟 。
Song强烈地强调,公司的预算价格并不意味着它会更不重视安全性 。“我们经常听到人们说,'您为所获得的东西付费,'假设Wyze产品的安全性较低,因为它们的价格较低 。事实并非如此,”联合创始人写道 。“我们一直非常重视安全性,而让我们这样的用户失望让我们感到震惊 。”
【Wyze服务器泄漏暴露了240万用户的客户数据】

    推荐阅读


    上一篇:货车气刹原理

    下一篇:2022铃木回归中国计划