Wyze服务器泄漏暴露240万用户的客户数据

智能安全摄像头制造商承认，一台不安全的服务器在三周内公开了Wyze客户的数据。网络安全公司12security于12月26日公布了调查结果，而专注于视频监控产品的博客IPVM则能够证实自己的数据受到了泄漏的影响。据十二安全公司称，约240万Wyze客户的数据遭到泄露。

WISZ联合创始人东胜歌在一个论坛上公布了向用户泄露的消息后写道，裸露的服务器不是生产服务器，而是一个“灵活的数据库”，是为了让客户数据更快地被查询而创建的。这位联合创始人说，一个员工的错误导致服务器的安全协议在12月4日被删除，直到12月26日公司意识到这个问题，数据才被曝光。

“我们一直非常重视安全问题，我们对让用户如此失望感到非常痛心。”

十二安全在其关于泄密的博客文章中说，该服务器包括用户名、电子邮件地址、摄像头昵称、设备型号、固件信息、Wi-Fi SSID详细信息、iOS和Android的API令牌，以及连接亚马逊语音助手和安全摄像头的用户的Alexa令牌等信息。（Wyze说数据库中没有用户密码）网络安全公司还声称数据库中包含了大量的健康信息，包括身高、体重、骨密度和每日蛋白质摄入量。宋证实，由于对一种新的智能秤产品进行了beta测试，一些健康信息得以呈现，但对其曾收集过骨密度和每日蛋白质摄入量的信息表示异议。

十二安全甚至声称，有“明显迹象”显示，这些数据正在中国被发送到阿里巴巴云。宋的论坛帖子对此表示异议。他说，Wyze不使用阿里巴巴云，尽管它在中国有员工和制造合作伙伴，但它不与任何政府机构共享用户数据。

针对这一安全漏洞，宋说，Wyze已经开始对其所有服务器和数据库进行审计，并发现了另一个未受保护的数据库。他还说，该公司正在重新审视其安全准则的“所有方面”。同时，该联合创始人表示，Wyze用户应谨防网络钓鱼攻击，该公司已将所有用户从其帐户中注销，并解除其第三方集成的链接，以试图弥补因API和Alexa令牌受损而造成的安全漏洞。

数据泄露发生在Wyze艰难的一年结束之际。早在7月份，该公司就宣布推出了一项新的人工智能的人员检测功能，用于其价格合理的安全摄像头，结果在11月份，与该功能合作的人工智能初创公司退出了该功能，这让人对该功能的未来产生了怀疑。同一个月，由于未指明的“关键问题”，其订阅服务的推出也需要推迟

宋热切地强调，该公司的预算价格并不意味着它不再重视安全问题。“我们经常听到有人说，‘你为你得到的东西付钱’，假设Wyze的产品不那么安全，因为它们比较便宜。这不是真的，”联合创始人写道。“我们一直非常重视安全性，我们对这样让用户失望感到非常震惊。”

声明：本文由易百纳技术社区编写，文章内容来自The verge，版权归原作者所有，转载请注明出处，如有侵权请联系删除。