物联网供应商wyze确认240万客户的详细信息遭泄露-k8凯发棋牌

据外媒zdnet报道，wyze是一家销售安全设备（如安全摄像头、智能插头，智能灯泡和智能门锁）的公司，该公司周日证实发生了服务器泄露，大约240万客户的详细信息遭泄露。wyze联合创始人在圣诞节期间发表的论坛帖子中说，泄露是在内部数据库意外在线暴露之后发生的。

该公司表示，公开的数据库-一个elasticsearch系统-不是生产系统；但是，服务器正在存储有效的用户数据。elasticsearch服务器是一种用于支持超快速搜索查询的技术，旨在帮助该公司对大量用户数据进行分类。该公司表示：

“ 为了帮助管理wyze的快速增长，我们最近启动了一个新的内部项目，以寻找更好的方法来衡量基本的业务指标，例如设备激活，连接失败率等。

我们从主要生产服务器复制了一些数据，并将其放入更灵活的数据库中，以便于查询。最初创建此新数据表时，该表受到了保护。但是，wyze员工在12月4日使用此数据库时犯了一个错误，并且该数据的先前安全协议已删除。我们仍在调查此事件，以找出原因和发生方式。”

泄露的服务器是由网络安全咨询公司twelve security发现并记录的，并由ipvm（一个致力于视频监控产品的博客）的记者进行了独立验证。

wyze公司对twelve security和ipvm如何处理数据泄漏公开表示不满，在公开调查结果之前，wyze仅用了14分钟的时间解决了泄露问题。

“我们是12月26日上午9:21通过ipvm.com的记者通过支持票与我们联系的。该文章几乎是在紧随其后发布的（上午9:35发布到twitter）。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10:00时已从阅读该文章的社区成员那里获悉了这篇文章。”

wyze确认泄露的服务器暴露了详细信息，例如用于创建wyze帐户的客户电子邮件地址，分配给wyze安全摄像机的昵称用户，wifi网络ssid标识符以及对于24000位用户而言的alexa令牌，这些令牌将wyze设备连接到alexa设备。

wyze高管否认wyze api令牌是通过服务器公开的。twelve security在其博客文章中声称，他们找到了api令牌，他们说这些令牌可以使黑客从任何ios或android设备访问wyze帐户。不过wyze否认了twelve security的说法，即他们正在将用户数据发送回阿里云服务器。

第三，wyze还澄清了twelve security声称wyze正在收集健康信息的说法。该公司表示，他们只从140个正在对新的智能秤产品进行beta测试的用户中收集健康数据。

wyze没有否认其收集的身高，体重和性别信息。但是，他确实否认了其他方面。“我们从未收集过骨密度和每日蛋白质摄入量。我们希望我们的规模如此之大。”

就目前而言，涉及此泄露的披露三方在此特定泄露事件的细节方面似乎不一致。无论哪种方式，wyze都表示决定从所有帐户中强制注销所有wyze用户，并且与所有第三方应用程序集成不同，这两个步骤将在用户重新登录并重新链接alexa设备到wyze帐户后生成新的wyze api令牌和alexa令牌。