由于智能家居制造商 Wyze Labs 的漏洞,未经授权的人可以在三周内访问超过 240 万用户的数据。数据位于链接到 Elasticsearch 集群的生产数据库中。
美国 Wyze 实验室通过论坛帖子确认了持续 12 月 4 日至 26 日的数据泄露。该漏洞是由安全公司 Twelve Security 发现的。据该公司称,在相关的三周时间内,来自 240 万用户的大量数据是完全不受保护的。没有迹象表明数据被滥用了。
它包括智能 Wyze 相机所有者的用户名和电子邮件地址,与之共享相机的所有人的电子邮件地址,房屋中所有相机的列表-包括昵称,型号和固件版本,wifi 的 ssid 网络和 Alexa 令牌,用于将 Wyze 摄像头连接到亚马逊语音助手的大约 24,000 人。
此外,据《十二安全》称,还可以从较小的一组用户中访问各种健康数据,例如身高,体重,性别和骨量。据 ZDnet 称,这些将来自一小群用户,他们测试了以前不相关的连接秤。这家安全公司注意到,“偶然地” 没有数据从中国用户泄漏出去。大约四分之一的受影响者生活在东部标准时区。此外,泄漏主要影响到美国,英国,阿拉伯联合酋长国,埃及和马来西亚部分地区的用户。用户的密码和财务数据不会被泄露。
十二安全组织还表示,有明确迹象表明数据已发送回中国的阿里云。该安全公司还指出,六个月前在 Wyze 发生了类似的泄密事件。部分出于这个原因,这家安全公司在揭露其发现之前并未警告 Wyze。该公司写道:“无论是故意间谍活动还是重大过失,这都是恶意行为,需要美国当局进一步调查。”
在论坛帖子中,Wyze 的联合创始人兼首席产品官宋东升(Dongsheng Song)否认将数据发送到阿里云的信息。他还否认该公司六个月前遭受了类似的漏洞。宋进一步表示,该公司已采取措施重新保护数据库免受未经授权的人员的侵害。因此,Wyze 用户必须再次登录,并可能恢复与 Alexa,Google Assistant 和 IFTTT 服务的链接。
微信扫一扫