负担得起的家庭安全产品制造商Wyze据称遭受了数据泄露,其中240万个客户数据库记录已公开暴露于Internet。Twelve Security在2019年12月26日发表了一篇文章,指出他们找到了该公司Elasticsearch数据库的开放路径,其中包含一些极其敏感的信息,包括确切的家庭网络详细信息,家庭中的摄像头位置甚至用户的个人信息。
为了回应该帖子,Wyze在当天早些时候收到“十二安全性”帖子的通知后的6小时内,对所有连接到其系统的用户进行了强制注销,并使其数据库安全性提高了一倍。Wyze指出,它无法复制公开访问其数据库所必需的步骤,并且尚未验证任何信息是否泄漏。安全网站IPVM最初通过支持通知单向Wyze通知了Twelve Security的帖子,并以几张截图作为证据显示了他们已确认利用此漏洞的证据。
按现状,Wyze Camera用户将需要重新登录其帐户并生成新的2因子认证(2FA)代码。已链接到Alexa,Google助手或IFTTT的所有Wyze摄像机都需要重新链接,以创建新的安全令牌。还鼓励用户更改其帐户密码。自从进行数据库更改以来,Wyze在过去的十二个小时中还承受着沉重的流量负载,并且2FA服务器出现问题,但是此后已经解决了这些问题。该公司表示,登录帐户遇到麻烦的用户应该不再有问题。
Twelve Security似乎没有以负责任的态度通过先向违规方(在这种情况下为Wyze)报告此违规行为来披露此违规行为。这使得很难在泄露之前识别出该漏洞有多大以及可能实际访问了哪些漏洞。Wyze正在进行对违规行为的调查,并表示一旦获得更多信息,它将立即举报。