Wyze泄露240萬用戶數據,澄清與阿里云關系
作者:星期二, 十二月 31, 20190

近日,智能家居技術制造商 Wyze Labs 首席執行官宋東升發布公告證實,從 12 月 4 日至 12 月 26 日,在超過三周的時間內,連接到 Elasticsearch 集群的生產數據庫泄露了超過 240 萬用戶的用戶數據。

接到安全媒體 IPVM 的通知后 6 小時內,Wyze 緊急注銷了所有攝像頭用戶賬戶,用戶需要重新登錄其帳戶并生成新的雙因子認證 (2FA) 代碼,以連接到 Alexa,Google 助手或 IFTTT 的 Wyze 關聯服務。

最早曝光該事件的 Twelve Security(十二安全)公司在博客發布安全報告稱泄露數據被傳回了阿里云。

小米被針對

此外 Twelve Security 的報告指出 Wyze 泄露的數據包括大量用戶隱私信息,而且 “存儲中國用戶數據的數據庫是加鎖的,而存儲美國用戶信息的數據庫卻(不小心)門洞打開”。

Twelve Security的泄露信息包括:

1. 購買相機然后將其連接到家中網絡的用戶名和電子郵件;

2. 在240萬用戶中,有24%位于EST時區(其余時間分散在美國,英國,阿聯酋,埃及和馬來西亞部分地區的其余地區);

3. 他們曾經與他人共享攝像機訪問權限的任何用戶的電子郵件,例如家庭成員;

4. 家庭中所有攝像機的列表,每個攝像機的昵稱,設備型號和固件;

5. WiFi SSID,內部子網布局,攝像機的上次啟動時間,從應用程序上次登錄的時間,從應用程序上次注銷的時間;

6. API令牌,可從任何iOS或Android設備訪問用戶帳戶;

7. 已將Alexa設備連接到Wyze相機的24,000位用戶的Alexa令牌;

8. 一部分用戶的身高,體重,性別,骨密度,骨質量,每日蛋白質攝入量和其他健康信息。

Twelve Security 在安全報告中還反復暗示此次數據泄露并非一次偶然的安全事故,而是有預謀的計劃,報告聲稱 Wyze 的實際控制者就是小米公司,其技術架構包括 GitLab 服務器和數據庫有相當一部分在中國(下圖,該信息并未得到 Wyze 的官方確認)。

在海外市場啟用全新品牌是國內廠商拓展海外市場比較常見的國際化營銷策略,例如 TikTok 就是海外版的抖音,而 WyzeCam 其實就是米家小方智能攝像機的一個升級版本(下圖),最大的區別就是集成了亞馬遜的 AWS 云服務。

但值得注意的是,安全咨詢公司 Twelve Security 曝光 Wyze 數據庫違規泄露風險時,并未按照常規做法先通知 Wyze,而是直接向外界公布了暴露數據庫的信息,導致紛沓而來的各路安全人士 “踩踏數據泄露現場”,使得Wyze很難核定數據泄露的實際規模。此外,在Wyze被 Twelve Security 密切跟蹤爆料不到兩個月前,TikTok 剛剛因為 “潛在的國家安全危險” 接受美國外國投資委員會 (CFIUS) 的調查。

作為中國科技業進軍海外市場頗為成功的兩個典范,Tikok 和 Wyze 幾乎是同時陷入了境外隱私合規與數據安全問題的泥沼。

Wyze 聯合創始人兼首席產品官宋東升昨日在博客中澄清,包括 IPVM 在內的某些渠道的報道信息并不準確。

他在回應 Twelve Security 報告和 IPVM 的報道時說:

我們不會將數據發送到阿里云。而且,即使是 beta 測試中的產品,我們也不會收集有關骨密度和每日蛋白質攝入量的信息。而且六個月前我們沒有發生(Twelve Security所聲稱的)類似的違規事件。

麻煩不斷的Elasticsearch

從 Wyze 官方確認的信息來看,泄露數據的 Elasticsearch 數據庫是 Wyze 生產數據庫的副本,其中包含所有用戶信息的子集。可以查詢已連接設備的數量,連接錯誤來 “測量基本業務指標,例如設備激活,連接失敗率” 等等。

就計算機資源而言,諸如此類的查詢開銷很大,會嚴重影響用戶產品體驗。因此,我們創建了一個單獨的數據庫,專門用于處理那些較繁重的請求。

雖然最初對暴露數據庫進行了正確的配置以保護 Wyze 的客戶,但 12 月 4 日,一名 Wyze 員工在使用時又錯誤地刪除了安全協議。

在驗證數據庫是否泄露之前,我們已經鎖定了有問題的數據庫。我們這樣做是為了預防,因為已經發表的文章提到了與 Elasticsearch 相關的數據庫:這也是我們在查詢數據庫中使用的搜索工具。

安全研究員 Bob Diachenko 也證實了 Wyze 暴露了 Elasticsearch 集群的信息包含 1,807,201,457 條記錄,包括日志數據,API 請求和事件:

實際上,在 Wyze 之前,Elasticsearch 數據庫已經成了 2019 年的 “年度泄露之王“,超大規模的泄露警報幾乎月月紅:

  • 去年 12 月,另一個包含 8200 萬美國人個人信息的數據庫在網上暴露了出來。
  • 今年1月份,一家在線賭博網站Elasticsearch泄露了超過 1.08 億筆投注信息和客戶資料。
  • 今年1月,百安居一個存有70000 多名盜竊者信息的Elasticsearch服務器被暴露。
  • 今年早些時候,Elasticsearch服務器上公開了超過2000萬俄羅斯公民的個人信息。
  • 今年5月,在 Freedom Mobile 的 Elasticsearch 數據庫泄漏后,包含數百萬加拿大人 CVV 碼的個人和支付卡數據再次暴露。
  • 11月,一個包含12億用戶賬戶的Elasticsearch服務器被公開在暗網上。
  • 12月,SecurityDiscovery網站發現了一個巨大的ElasticSearch數據庫,包含超過27億個被盜的電郵地址,其中有10億個密碼都是簡單的明文。大多數被盜的郵件域名都來自中國的郵件提供商,比如騰訊、新浪、搜狐和網易,雅虎gmail和一些俄羅斯郵件域名也受了影響。

到底暴露了哪些Wyze用戶信息?

Wyze 首席隱私官 (CPO) 確認了一些與 Twelve Security 12 月 26 日報告信息有關的信息。他表示,這個不安全的數據庫確實包含客戶電子郵件和攝像頭名稱、WiFi SSID、Wyze 設備信息、與 Alexa 集成相關的大約 24,000 個令牌以及身體身高(包括身高,體重,性別和其他少量健康信息),還包括一些 Beta 產品測試員的信息。

泄露數據中IPVM某雇員的信息(與Wyze的說法比較吻合)

作為新硬件 Beta 測試的一部分,Wyze 在公開數據庫中還存儲了 140 個外部 Beta 測試人員的健康信息。

但是,宋東升補充說,該數據庫 “未包含用戶密碼或政府管制的個人或財務信息”,與 Twelve Security 在其報告中提供的信息相左。

此外,Wyze 的聯合創始人還表示:沒有證據顯示 iOS 和 Android 的 API 令牌已被暴露,但我們為預防起見,決定在開始調查時更新它們。

對于此安全事件的影響,Wyze 建議其用戶警惕未來的網絡釣魚攻擊,因為第三方可能會擁有用戶電子郵件地址。

作為一種預防措施,Wyze 通過刷新令牌來注銷所有用戶,并 “為我們的系統數據庫添加了另一級別的保護(調整了一些權限規則,并添加了僅允許某些列入白名單的IP訪問數據庫的預防措施)”。

這些措施的直接結果是,所有 Wyze 客戶都必須在下次訪問其帳戶,連接 Alexa,Google Assistant 或 IFTTT 集成時重新登錄。

新的漏點

截至本文發稿,宋東升在 Wyze 社區中的最后更新日期是 29 日,透露又發現一個不安全數據庫,內容摘譯如下:

我們希望為大家提供有關正在進行的調查(19/26/19上報告的數據泄漏)的最新信息。

從那時起,我們一直在審核所有服務器和數據庫,并發現了另一個不受保護的數據庫。這不是生產數據庫,我們可以確認密碼和個人財務數據未包含在該數據庫中。我們仍在研究泄漏了哪些其他信息以及導致該泄漏的情況。我們要感謝 Wyze 社區成員,我們在 12/27 更新后不久就此事與我們私下聯系。他們的協助幫助我們那天晚上迅速解決了這個漏洞。

相關閱讀

 

2019年十大物聯網安全事件

 


相關文章

寫一條評論

 

 

0條評論