据外媒ZDNet报道,Wyze是一家销售安全设备(如安全摄像头、智能插头,智能灯泡和智能门锁)的公司,该公司周日证实发生了服务器泄露,大约240万客户的详细信息遭泄露。Wyze联合创始人在圣诞节期间发表的论坛帖子中说,泄露是在内部数据库意外在线暴露之后发生的。
该公司表示,公开的数据库-一个Elasticsearch系统-不是生产系统;但是,服务器正在存储有效的用户数据。Elasticsearch服务器是一种用于支持超快速搜索查询的技术,旨在帮助该公司对大量用户数据进行分类。该公司表示:
“ 为了帮助管理Wyze的快速增长,我们最近启动了一个新的内部项目,以寻找更好的方法来衡量基本的业务指标,例如设备激活,连接失败率等。
我们从主要生产服务器复制了一些数据,并将其放入更灵活的数据库中,以便于查询。最初创建此新数据表时,该表受到了保护。但是,Wyze员工在12月4日使用此数据库时犯了一个错误,并且该数据的先前安全协议已删除。我们仍在调查此事件,以找出原因和发生方式。”
泄露的服务器是由网络安全咨询公司Twelve Security发现并记录的,并由IPVM(一个致力于视频监控产品的博客)的记者进行了独立验证。
Wyze公司对Twelve Security和IPVM如何处理数据泄漏公开表示不满,在公开调查结果之前,Wyze仅用了14分钟的时间解决了泄露问题。
“我们是12月26日上午9:21通过IPVM.com的记者通过支持票与我们联系的。该文章几乎是在紧随其后发布的(上午9:35发布到Twitter)。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10:00时已从阅读该文章的社区成员那里获悉了这篇文章。”
Wyze确认泄露的服务器暴露了详细信息,例如用于创建Wyze帐户的客户电子邮件地址,分配给Wyze安全摄像机的昵称用户,WiFi网络SSID标识符以及对于24000位用户而言的Alexa令牌,这些令牌将Wyze设备连接到Alexa设备。
Wyze高管否认Wyze API令牌是通过服务器公开的。Twelve Security在其博客文章中声称,他们找到了API令牌,他们说这些令牌可以使黑客从任何iOS或Android设备访问Wyze帐户。不过Wyze否认了Twelve Security的说法,即他们正在将用户数据发送回阿里云服务器。
第三,Wyze还澄清了Twelve Security声称Wyze正在收集健康信息的说法。该公司表示,他们只从140个正在对新的智能秤产品进行Beta测试的用户中收集健康数据。
Wyze没有否认其收集的身高,体重和性别信息。但是,他确实否认了其他方面。“我们从未收集过骨密度和每日蛋白质摄入量。我们希望我们的规模如此之大。”
就目前而言,涉及此泄露的披露三方在此特定泄露事件的细节方面似乎不一致。无论哪种方式,Wyze都表示决定从所有帐户中强制注销所有Wyze用户,并且与所有第三方应用程序集成不同,这两个步骤将在用户重新登录并重新链接Alexa设备到Wyze帐户后生成新的Wyze API令牌和Alexa令牌。
在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。
根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。
获取安全动态