这家智能安全相机制造商承认,一台不安全的服务器在三周内暴露了Wyze客户的数据。12月26日公布调查结果的网络安全公司“十二安全”首先发现了这起泄密事件,而专注于视频监控产品的博客IPVM则能够证实自己的数据受到了泄密事件的影响。据“十二安全”称,约240万Wyze客户的数据被泄露。
在一篇向用户宣布泄密的论坛帖子中,Wyze联合创始人宋东生写道,暴露的服务器不是生产服务器,而是一个“灵活的数据库”,它的创建是为了让客户数据能够更快地被查询。这位联合创始人说,一个员工的错误导致服务器的安全协议在12月4日被删除,直到12月26日公司才意识到这个问题。
在其关于泄漏的博客文章中,“十二安全”说,服务器包括用户名、电子邮件地址、相机昵称、设备模型、固件信息、Wi-FiSS ID详细信息、iOS和Android的API令牌,以及与亚马逊语音助手连接其安全摄像机的用户的Alexa令牌。(怀泽说,数据库不包括用户密码。)这家网络安全公司还声称,该数据库包含了大量的健康信息,包括身高、体重、骨密度和每日蛋白质摄入量。宋庆龄证实,一些健康信息是由于一种新的智能秤产品的β测试而出现的,但对其曾经收集过关于骨密度和每日蛋白质摄入量的信息表示异议。
12家安防甚至声称,有“明确的迹象”数据正在发送给中国的阿里云。宋的论坛帖子对此提出异议。他说,Wyze不使用阿里云,尽管它有员工和制造合作伙伴,但它没有与任何政府机构共享用户数据。
针对这一安全漏洞,宋说,Wyze已经开始对其所有服务器和数据库进行审计,并发现了另一个未受保护的数据库。他还表示,该公司正在重新审视其安全准则的“各个方面”。与此同时,联合创始人表示,Wyze用户应该警惕网络钓鱼攻击,该公司已经将其所有用户的账户注销,并解除其第三方集成链接,以试图堵塞由泄露的API和Alexa令牌引起的安全漏洞。
数据泄露是在Wyze艰难的一年结束时发生的。该公司在7月宣布了一项新的人工智能人力检测功能,为其负担得起的安全摄像头提供服务,但它在11月推出了与其合作的人工智能初创公司,这让人们对该功能的未来产生了怀疑。其订阅服务的推出也需要在同一个月因未指明的“关键问题”而推迟。
宋很想强调的是,该公司的预算价格并不意味着它对安全的重视程度就会降低。“我们经常听到人们说,‘你为你所得到的付出代价’,假设Wyze产品不那么安全,因为它们不那么昂贵。这不是真的,”联合创始人写道。“我们一直非常认真地对待安全问题,我们对这样让用户失望感到震惊。