專門開發平價智慧家庭裝置的IoT裝置製造商Wyze近日坦承,該公司的一台Elasticsearch伺服器因人為疏失而造成客戶資料外洩,資安顧問業者Twelve Security指稱該伺服器曝露了240萬名Wyze客戶的監視器資料。

2017年在美國創立的Wyze以「讓每個人都能享受高品質的智慧家庭技術」為口號,開發了多種平價智慧家庭裝置,包括監視器、感應器、智慧燈泡、智慧插座及智慧鎖等,它的監視器售價從19.99美元到29.99美元不等,智慧燈泡則只要7.99美元。

但Twelve Security則發現了Wyze一個未上鎖的伺服器,還說Wyze把相關資料傳送到中國的Alibaba Cloud雲端服務。

Wyze坦承了資料庫因人為疏失而曝光,但否認將資料傳送到阿里巴巴(Alibaba)。

根據Wyze的解釋,該公司最近執行一項新專案,企圖以更好的方式來衡量基本的業務指標,像是裝置的啟用或是連結的失敗率等,為了更容易查詢及不影響主要伺服器的使用經驗,他們把部份的資料表格從主要伺服器複製到另一個伺服器上,一開始該資料表格是受保護的,但從12月4日開始,有一名員工不小心移除了它的安全協議,而讓資料庫曝光。

不過,該資料庫只存放了用戶的部份資料,包括使用者名稱、電子郵件帳號、用戶家中的監視器列表與名稱、裝置型號及所使用的韌體、Wi-Fi的SSID、內部子網路的布局、監視器最近一次運作的時間、程式最近一次登入/登出的時間,以及從Android或iOS裝置存取使用者帳號的API權杖、2.4萬名用戶的Alexa權杖,以及約140名測試用戶的身高、體重、性別、骨頭密度、每日蛋白質攝取量等健康資訊,但並未包含用戶的密碼。

Wyze在得知此事之後,已於12月26日鎖住該資料庫,同時強迫所有用戶登出以更新權杖,要求所有用戶重新取得與Google Assistant、Alexa及IFTTT的連結。

此外,Wyze也對旗下資料庫進行全面的徹查,發現了另一個未受保護的資料庫。Wyze只說這是一個非生產資料庫,且未存放用戶密碼或個人金融資訊,但並未說明資料庫所存放的內容。

另一方面,Wyze強調,該公司雖然在中國有員工及合作的製造商,但並未使用Alibaba Cloud,也未與中國或其它政府分享用戶資訊,Twelve Security的指控是不實的。

Wyze提醒用戶應小心網釣攻擊,且最好啟用雙因素身分認證機制。


Advertisement

更多 iThome相關內容