Wyze泄露240万用户数据,澄清与阿里云关系

近日,智能家居技术制造商 Wyze Labs 首席执行官宋东升发布公告证实,从 12 月 4 日至 12 月 26 日,在超过三周的时间内,连接到 Elasticsearch 集群的生产数据库泄露了超过 240 万用户的用户数据。

接到安全媒体 IPVM 的通知后 6 小时内,Wyze 紧急注销了所有摄像头用户账户,用户需要重新登录其帐户并生成新的双因子认证 (2FA) 代码,以连接到 Alexa,Google 助手或 IFTTT 的 Wyze 关联服务。

最早曝光该事件的 Twelve Security(十二安全)公司在博客发布安全报告称泄露数据被传回了阿里云。

小米被针对

此外 Twelve Security 的报告指出 Wyze 泄露的数据包括大量用户隐私信息,而且 “存储中国用户数据的数据库是加锁的,而存储美国用户信息的数据库却(不小心)门洞打开”。

Twelve Security的泄露信息包括:

1. 购买相机然后将其连接到家中网络的用户名和电子邮件;

2. 在240万用户中,有24%位于EST时区(其余时间分散在美国,英国,阿联酋,埃及和马来西亚部分地区的其余地区);

3. 他们曾经与他人共享摄像机访问权限的任何用户的电子邮件,例如家庭成员;

4. 家庭中所有摄像机的列表,每个摄像机的昵称,设备型号和固件;

5. WiFi SSID,内部子网布局,摄像机的上次启动时间,从应用程序上次登录的时间,从应用程序上次注销的时间;

6. API令牌,可从任何iOS或Android设备访问用户帐户;

7. 已将Alexa设备连接到Wyze相机的24,000位用户的Alexa令牌;

8. 一部分用户的身高,体重,性别,骨密度,骨质量,每日蛋白质摄入量和其他健康信息。

Twelve Security 在安全报告中还反复暗示此次数据泄露并非一次偶然的安全事故,而是有预谋的计划,报告声称 Wyze 的实际控制者就是小米公司,其技术架构包括 GitLab 服务器和数据库有相当一部分在中国(下图,该信息并未得到 Wyze 的官方确认)。

在海外市场启用全新品牌是国内厂商拓展海外市场比较常见的国际化营销策略,例如 TikTok 就是海外版的抖音,而 WyzeCam 其实就是米家小方智能摄像机的一个升级版本(下图),最大的区别就是集成了亚马逊的 AWS 云服务。

但值得注意的是,安全咨询公司 Twelve Security 曝光 Wyze 数据库违规泄露风险时,并未按照常规做法先通知 Wyze,而是直接向外界公布了暴露数据库的信息,导致纷沓而来的各路安全人士 “踩踏数据泄露现场”,使得Wyze很难核定数据泄露的实际规模。此外,在Wyze被 Twelve Security 密切跟踪爆料不到两个月前,TikTok 刚刚因为 “潜在的国家安全危险” 接受美国外国投资委员会 (CFIUS) 的调查。

作为中国科技业进军海外市场颇为成功的两个典范,Tikok 和 Wyze 几乎是同时陷入了境外隐私合规与数据安全问题的泥沼。

Wyze 联合创始人兼首席产品官宋东升昨日在博客中澄清,包括 IPVM 在内的某些渠道的报道信息并不准确。

他在回应 Twelve Security 报告和 IPVM 的报道时说:

我们不会将数据发送到阿里云。而且,即使是 beta 测试中的产品,我们也不会收集有关骨密度和每日蛋白质摄入量的信息。而且六个月前我们没有发生(Twelve Security所声称的)类似的违规事件。

麻烦不断的Elasticsearch

从 Wyze 官方确认的信息来看,泄露数据的 Elasticsearch 数据库是 Wyze 生产数据库的副本,其中包含所有用户信息的子集。可以查询已连接设备的数量,连接错误来 “测量基本业务指标,例如设备激活,连接失败率” 等等。

就计算机资源而言,诸如此类的查询开销很大,会严重影响用户产品体验。因此,我们创建了一个单独的数据库,专门用于处理那些较繁重的请求。

虽然最初对暴露数据库进行了正确的配置以保护 Wyze 的客户,但 12 月 4 日,一名 Wyze 员工在使用时又错误地删除了安全协议。

在验证数据库是否泄露之前,我们已经锁定了有问题的数据库。我们这样做是为了预防,因为已经发表的文章提到了与 Elasticsearch 相关的数据库:这也是我们在查询数据库中使用的搜索工具。

安全研究员 Bob Diachenko 也证实了 Wyze 暴露了 Elasticsearch 集群的信息包含 1,807,201,457 条记录,包括日志数据,API 请求和事件:

实际上,在 Wyze 之前,Elasticsearch 数据库已经成了 2019 年的 “年度泄露之王“,超大规模的泄露警报几乎月月红:

  • 去年 12 月,另一个包含 8200 万美国人个人信息的数据库在网上暴露了出来。
  • 今年1月份,一家在线赌博网站Elasticsearch泄露了超过 1.08 亿笔投注信息和客户资料。
  • 今年1月,百安居一个存有70000 多名盗窃者信息的Elasticsearch服务器被暴露。
  • 今年早些时候,Elasticsearch服务器上公开了超过2000万俄罗斯公民的个人信息。
  • 今年5月,在 Freedom Mobile 的 Elasticsearch 数据库泄漏后,包含数百万加拿大人 CVV 码的个人和支付卡数据再次暴露。
  • 11月,一个包含12亿用户账户的Elasticsearch服务器被公开在暗网上。
  • 12月,SecurityDiscovery网站发现了一个巨大的ElasticSearch数据库,包含超过27亿个被盗的电邮地址,其中有10亿个密码都是简单的明文。大多数被盗的邮件域名都来自中国的邮件提供商,比如腾讯、新浪、搜狐和网易,雅虎gmail和一些俄罗斯邮件域名也受了影响。

到底暴露了哪些Wyze用户信息?

Wyze 首席隐私官 (CPO) 确认了一些与 Twelve Security 12 月 26 日报告信息有关的信息。他表示,这个不安全的数据库确实包含客户电子邮件和摄像头名称、WiFi SSID、Wyze 设备信息、与 Alexa 集成相关的大约 24,000 个令牌以及身体身高(包括身高,体重,性别和其他少量健康信息),还包括一些 Beta 产品测试员的信息。

泄露数据中IPVM某雇员的信息(与Wyze的说法比较吻合)

作为新硬件 Beta 测试的一部分,Wyze 在公开数据库中还存储了 140 个外部 Beta 测试人员的健康信息。

但是,宋东升补充说,该数据库 “未包含用户密码或政府管制的个人或财务信息”,与 Twelve Security 在其报告中提供的信息相左。

此外,Wyze 的联合创始人还表示:没有证据显示 iOS 和 Android 的 API 令牌已被暴露,但我们为预防起见,决定在开始调查时更新它们。

对于此安全事件的影响,Wyze 建议其用户警惕未来的网络钓鱼攻击,因为第三方可能会拥有用户电子邮件地址。

作为一种预防措施,Wyze 通过刷新令牌来注销所有用户,并 “为我们的系统数据库添加了另一级别的保护(调整了一些权限规则,并添加了仅允许某些列入白名单的IP访问数据库的预防措施)”。

这些措施的直接结果是,所有 Wyze 客户都必须在下次访问其帐户,连接 Alexa,Google Assistant 或 IFTTT 集成时重新登录。

新的漏点

截至本文发稿,宋东升在 Wyze 社区中的最后更新日期是 29 日,透露又发现一个不安全数据库,内容摘译如下:

我们希望为大家提供有关正在进行的调查(19/26/19上报告的数据泄漏)的最新信息。

从那时起,我们一直在审核所有服务器和数据库,并发现了另一个不受保护的数据库。这不是生产数据库,我们可以确认密码和个人财务数据未包含在该数据库中。我们仍在研究泄漏了哪些其他信息以及导致该泄漏的情况。我们要感谢 Wyze 社区成员,我们在 12/27 更新后不久就此事与我们私下联系。他们的协助帮助我们那天晚上迅速解决了这个漏洞。

上一篇:美国海岸警卫队港口设施被勒索软件搞瘫

下一篇:内部人员风险管理:归哪个“O”管?