专门开发平价智能家庭设备的IoT设备制造商Wyze近日坦承,该公司的一台Elasticsearch服务器因人为疏失而造成客户数据外泄,安全顾问企业Twelve Security指称该服务器暴露了240万名Wyze客户的监视器数据。
2017年在美国创立的Wyze以“让每个人都能享受高品质的智能家庭技术”为口号,开发了多种平价智能家庭设备,包括监视器、传感器、智能灯泡、智能插座及智能锁等,它的监视器售价从19.99美元到29.99美元不等,智能灯泡则只要7.99美元。
但Twelve Security则发现了Wyze一个未上锁的服务器,还说Wyze把相关数据发送到中国的Alibaba Cloud云计算服务。
Wyze坦承了数据库因人为疏失而曝光,但否认将数据发送到阿里巴巴(Alibaba)。
根据Wyze的解释,该公司最近执行一项新项目,企图以更好的方式来衡量基本的业务指标,像是设备的激活或是连接的失败率等,为了更容易查询及不影响主要服务器的使用体验,他们把部分的数据表格从主要服务器复制到另一个服务器上,一开始该数据表格是受保护的,但从12月4日开始,有一名员工不小心移除了它的安全协议,而让数据库曝光。
不过,该数据库只存放了用户的部分数据,包括用户名、电子邮件账号、用户家中的监视器列表与名称、设备型号及所使用的固件、Wi- Fi的SSID、内部子网络的布局、监视器最近一次运行的时间、程序最近一次登录/注销的时间,以及从Android或iOS设备访问用户账号的API权限、2.4万名用户的Alexa权限,以及约140名测试用户的身高、体重、性别、骨头密度、每日蛋白质摄取量等健康信息,但并未包含用户的密码。
Wyze在得知此事之后,已于12月26日锁住该数据库,同时强迫所有用户注销以更新权限,要求所有用户重新取得与Google Assistant、Alexa及IFTTT的连接。
此外,Wyze也对旗下数据库进行全面的彻查,发现了另一个未受保护的数据库。Wyze只说这是一个非生产数据库,且未存放用户密码或个人金融信息,但并未说明数据库所存放的内容。
另一方面,Wyze强调,该公司虽然在中国有员工及合作的制造商,但并未使用Alibaba Cloud,也未与中国或其它政府分享用户信息,Twelve Security的指控是不实的。
Wyze提醒用户应小心网络钓鱼攻击,且最好激活双因素身份认证机制。