近日,智能家居技術製造商 Wyze Labs 執行長宋東升發布公告證實,從 12 月 4 日至 12 月 26 日,在超過三周的時間內,連接到 Elasticsearch 集群的生產資料庫泄露了超過 240 萬用戶的用戶數據。
接到安全媒體 IPVM 的通知後 6 小時內,Wyze 緊急註銷了所有攝像頭用戶帳戶,用戶需要重新登錄其帳戶並生成新的雙因子認證 (2FA) 代碼,以連接到 Alexa,Google 助手或 IFTTT 的 Wyze 關聯服務。
最早曝光該事件的 Twelve Security(十二安全)公司在博客發布安全報告稱泄露數據被傳回了阿里雲。
此外 Twelve Security 的報告指出 Wyze 泄露的數據包括大量用戶隱私信息,而且 「存儲中國用戶數據的資料庫是加鎖的,而存儲美國用戶信息的資料庫卻(不小心)門洞打開」。
Twelve Security的泄露信息包括:
1. 購買相機然後將其連接到家中網絡的用戶名和電子郵件;
2. 在240萬用戶中,有24%位於EST時區(其餘時間分散在美國,英國,阿聯,埃及和馬來西亞部分地區的其餘地區);
3. 他們曾經與他人共享攝像機訪問權限的任何用戶的電子郵件,例如家庭成員;
4. 家庭中所有攝像機的列表,每個攝像機的暱稱,設備型號和固件;
5. WiFi SSID,內部子網布局,攝像機的上次啟動時間,從應用程式上次登錄的時間,從應用程式上次註銷的時間;
6. API令牌,可從任何iOS或Android設備訪問用戶帳戶;
7. 已將Alexa設備連接到Wyze相機的24,000位用戶的Alexa令牌;
8. 一部分用戶的身高,體重,性別,骨密度,骨質量,每日蛋白質攝入量和其他健康信息。
Twelve Security 在安全報告中還反覆暗示此次數據泄露並非一次偶然的安全事故,而是有預謀的計劃,報告聲稱 Wyze 的實際控制者就是小米公司,其技術架構包括 GitLab 伺服器和資料庫有相當一部分在中國(下圖,該信息並未得到 Wyze 的官方確認)。
在海外市場啟用全新品牌是國內廠商拓展海外市場比較常見的國際化營銷策略,例如 TikTok 就是海外版的抖音,而 WyzeCam 其實就是米家小方智能攝像機的一個升級版本(下圖),最大的區別就是集成了亞馬遜的 AWS 雲服務。
但值得注意的是,安全諮詢公司 Twelve Security 曝光 Wyze 資料庫違規泄露風險時,並未按照常規做法先通知 Wyze,而是直接向外界公布了暴露資料庫的信息,導致紛沓而來的各路安全人士 「踩踏數據泄露現場」,使得Wyze很難核定數據泄露的實際規模。此外,在Wyze被 Twelve Security 密切跟蹤爆料不到兩個月前,TikTok 剛剛因為 「潛在的國家安全危險」 接受美國外國投資委員會 (CFIUS) 的調查。
作為中國科技業進軍海外市場頗為成功的兩個典範,Tikok 和 Wyze 幾乎是同時陷入了境外隱私合規與數據安全問題的泥沼。
Wyze 聯合創始人兼首席產品官宋東升昨日在博客中澄清,包括 IPVM 在內的某些渠道的報導信息並不準確。
他在回應 Twelve Security 報告和 IPVM 的報導時說:
從 Wyze 官方確認的信息來看,泄露數據的 Elasticsearch 資料庫是 Wyze 生產資料庫的副本,其中包含所有用戶信息的子集。可以查詢已連接設備的數量,連接錯誤來 「測量基本業務指標,例如設備激活,連接失敗率」 等等。
雖然最初對暴露資料庫進行了正確的配置以保護 Wyze 的客戶,但 12 月 4 日,一名 Wyze 員工在使用時又錯誤地刪除了安全協議。
安全研究員 Bob Diachenko 也證實了 Wyze 暴露了 Elasticsearch 集群的信息包含 1,807,201,457 條記錄,包括日誌數據,API 請求和事件:
實際上,在 Wyze 之前,Elasticsearch 資料庫已經成了 2019 年的 「年度泄露之王「,超大規模的泄露警報幾乎月月紅:
Wyze 首席隱私官 (CPO) 確認了一些與 Twelve Security 12 月 26 日報告信息有關的信息。他表示,這個不安全的資料庫確實包含客戶電子郵件和攝像頭名稱、WiFi SSID、Wyze 設備信息、與 Alexa 集成相關的大約 24,000 個令牌以及身體身高(包括身高,體重,性別和其他少量健康信息),還包括一些 Beta 產品測試員的信息。
泄露數據中IPVM某雇員的信息(與Wyze的說法比較吻合)
作為新硬體 Beta 測試的一部分,Wyze 在公開資料庫中還存儲了 140 個外部 Beta 測試人員的健康信息。
但是,宋東升補充說,該資料庫 「未包含用戶密碼或政府管制的個人或財務信息」,與 Twelve Security 在其報告中提供的信息相左。
此外,Wyze 的聯合創始人還表示:沒有證據顯示 iOS 和 Android 的 API 令牌已被暴露,但我們為預防起見,決定在開始調查時更新它們。
對於此安全事件的影響,Wyze 建議其用戶警惕未來的網絡釣魚攻擊,因為第三方可能會擁有用戶電子郵件地址。
作為一種預防措施,Wyze 通過刷新令牌來註銷所有用戶,並 「為我們的系統資料庫添加了另一級別的保護(調整了一些權限規則,並添加了僅允許某些列入白名單的IP訪問資料庫的預防措施)」。
這些措施的直接結果是,所有 Wyze 客戶都必須在下次訪問其帳戶,連接 Alexa,Google Assistant 或 IFTTT 集成時重新登錄。
截至本文發稿,宋東升在 Wyze 社區中的最後更新日期是 29 日,透露又發現一個不安全資料庫,內容摘譯如下:
我們希望為大家提供有關正在進行的調查(19/26/19上報告的數據泄漏)的最新信息。
從那時起,我們一直在審核所有伺服器和資料庫,並發現了另一個不受保護的資料庫。這不是生產資料庫,我們可以確認密碼和個人財務數據未包含在該資料庫中。我們仍在研究泄漏了哪些其他信息以及導致該泄漏的情況。我們要感謝 Wyze 社區成員,我們在 12/27 更新後不久就此事與我們私下聯繫。他們的協助幫助我們那天晚上迅速解決了這個漏洞。