智能家居设备制造商Wyze暴露的相机数据库

 公司新闻     |      2020-01-05 06:17

  总部位于西雅图的智能家居设备制造商Wyze说,开发人员的错误在本月初的三个星期内将数据库暴露给了互联网,但发现该暴露的安全专家说,这种情况持续的时间更长。

  数据包括客户电子邮件,在线摄像机的昵称,IP地址,WiFi SSID,▲★-●设备信息和Alexa令牌。此外,Wyze说,“人体指标”(即将推出的规模产品的Beta测试人员的物理信息)也已暴露。■□★◇▽▼•不过,该公司表示,没有暴露任何个人或财务信息,也没有用户密码。

  曝光是由经营奥斯汀计算机安全咨询公司Twelve Security的Dan Ehrlich发现的。Ehrlich告诉ISMG,◆◁•他发现了两个Elasticsearch数据库和一个暴露于Internet的MySQL生产数据库。他认为MySQL生产数据库可能已经暴露了长达11个月的时间。

  数据包括全球288万用户的电子邮件地址,其中大约一半在美国,•●以及有关已部署的Wyze相机的大量技术数据。他说,大量的数据似乎已转移到中国,包括那里的AWS服务器。

  埃里希说,他联系了《华尔街日报》的执行编辑,问她家中是否装有三台Wyze相机。她做过。★▽…◇埃里希说她告诉他她要断开相机的连接。△▪️▲□△

  在另一个示例中,Ehrlich说他可以看到洛杉矶男人的Wyze相机的日志,其中包括一个警报,该警报显示到包裹早上一分钟的那一刻。极速快三官网

  物联网摄像头的安全性受到了严格的审查,特别是在涉及Google的Nest摄像头的一轮凭据填充事件以及最近针对亚马逊的Ring Door摄像头的攻击中。•☆■▲

  Wyze首席产品官SongdongshengSong在博客中写道:“我们如此让我们的用户失望,我们感到非常震惊。”

  他写道:“这清楚地表明,我们需要全面重新审视Wyze的所有安全准则,与Wyze员工更好地沟通这些协议,并提高用户要求的安全功能的优先级,超越两因素验证。”

  Song写道,◆●△▼●这种曝光发生在公司试图优化涉及四个生产服务器中包含的数据的查询之后。Song写道,公司将一些数据放入“更灵活的”数据库中。

  他写道:“此新数据表最初创建时受到保护。”“但是,Wyze员工在12月4日使用此数据库时犯了一个错误,并且删除了该数据的以前的安全协议。我们仍在调查此事件,以找出原因和发生方式。”

  Ehrlich说,公开的数据包括将其Amazon Alexa链接到Wyze设备的24,500个用户的凭证。另外,还存在与使用IFTTT设置的任务相关的数据-这是API启用的“ if if then then”脚本服务的缩写。他写道,公开了用于管理该连接的凭据。

  因此,▪️•★Song写道Wyze已取消所有第三方设备的链接,例如Alexas,Google Assistant和IFTTT。它还迫使所有用户重新登录其帐户,然后生成新令牌。没有证据表明iOS和Android的API令牌受到影响,但是Wyze也在刷新这些令牌。□▼◁▼

  Song说,▼▼▽●▽●有关该违规行为的一些不准确信息已经流传开来。他写道,Wyze不会将数据发送到阿里巴巴的云。此外,Wyze不会收集有关每日蛋白质摄入量的骨密度信息,口▲=○▼该公司六个月前也没有违反该规定。

  但是Wyze承认,“身体指标”数据涉及140个新规模的Beta测试人员。泄漏的数据包括身高,体重和性别。

  Wyze写道,记者与该公司联系并于12月26日早上提交了支持票,并随后发表了一个故事。△此外,Wyze还被提醒注意十二安全网的博客文章,该博客文章也在该时间发布。

  在周日发布的第二篇更具技术性的博客文章中,Ehrlich写道,世界上任何人都有可能访问在线Wyze摄像机的实时视频流。★△◁◁▽▼

  埃利希说,这有两种可能。首先是通过滥用泄漏的API令牌。他还说,私有证书文件-包括照相机完整证书链的完整副本,包括私有密钥-都存储在暴露的MySQL服务器上。