山海科技发展网

07月08日互联网要闻:物联网供应商Wyze证实服务器泄漏

导读 摘要 今天小编就给大家分享一篇有关互联网,手机,科技方面文章给大家,相信很多小伙伴们还是对互联网,手机,科技知识这方面还是不太了解...
摘要 今天小编就给大家分享一篇有关互联网,手机,科技方面文章给大家,相信很多小伙伴们还是对互联网,手机,科技知识这方面还是不太了解,那么

今天小编就给大家分享一篇有关互联网,手机,科技方面文章给大家,相信很多小伙伴们还是对互联网,手机,科技知识这方面还是不太了解,那么小编也在网上收集到了一些关于手机和互联网以及科技类这方面的相关知识来分享给大家,希望大家看了会有所帮助。

一家销售智能设备的公司,如安全摄像头、智能插头、智能灯泡和智能门锁,今天证实了服务器泄露,泄露了大约240万用户的信息。

Wyze联合创始人宋东升在圣诞节期间发表的一篇论坛帖子中说,一个内部数据库被意外地暴露在网上,导致了这次泄露。

宋表示,暴露的数据库——一个Elasticsearch系统——不是一个生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种支持超高速搜索查询的技术,它的建立是为了帮助公司对大量用户数据进行排序。Wyze高管解释道:

“为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以找到更好的方法来测量基本的业务指标,如设备激活率、失败连接率等。

我们从主要的生产服务器中复制了一些数据,并将其放入更灵活的数据库中,以便于查询。这个新的数据表在最初创建时是受保护的。然而,12月4日,Wyze的一名员工在使用该数据库时犯了一个错误,删除了该数据之前的安全协议。我们仍在调查这一事件,以找出原因和原因。”

泄露的服务器是由网络安全咨询公司Twelve Security发现并记录下来的,并由IPVM的记者独立核实。

宋表达了他对12 Security和IPVM这两家公司处理数据泄露的方式的不满,他只给了Wyze 14分钟的时间来修复泄漏,然后将他们的发现公之于众。

“12月26日上午9点21分,IPVM.com的一名记者通过支持票联系了我们。这篇文章几乎立即发表(上午9点35分在Twitter上发表)。12月26日,这篇文章与一家私人安全公司的博客文章同时发布。我们是在上午10点左右从一位读过这篇文章的社区成员那里得知这篇文章的。”

宋证实,泄露的服务器暴露了客户用于创建Wyze账户的电子邮件地址、分配给Wyze安全摄像头的用户昵称、WiFi网络SSID标识,以及24000名用户用于连接Wyze设备和Alexa设备的Alexa令牌等细节。

Wyze exec否认Wyze API令牌是通过服务器公开的。在其博客文章中,12名安全人员声称他们发现了API令牌,他们说这些令牌允许黑客从任何iOS或Android设备访问Wyze账户。

第二,宋还否认了12家安全公司的说法,他们正在把用户数据发送回阿里巴巴在中国的云服务器。

第三,宋还澄清了12项关于威兹收集健康信息的安全声明。Wyze的执行人员表示,他们只收集了140名用户的健康数据,这些用户正在对一种新型智能产品进行beta测试。

宋没有否认怀兹收集了身高、体重和性别信息。然而,他确实否认了其他人。

“我们从来没有收集过骨密度和每天的蛋白质摄入量,”Wyze的执行官说。“我们希望我们的秤有那么酷。”

就目前而言,泄露事件涉及的三方似乎在泄露的细节上存在分歧。不管怎样,Wyze表示,它决定强制注销所有Wyze用户的账户,并且不喜欢所有第三方应用程序整合——这两个步骤将在用户重新登录并将Alexa设备重新链接到Wyze账户时生成新的Wyze API令牌和Alexa令牌。