‎Wyze 摄像机安全漏洞导致240 万用户的个人信息被曝光‎

Wyze 摄像机的安全漏洞已经导致超过240万用户的大量个人数据被泄露。漏洞发现者TwelveSecurity说:“从来没有遇到过如此严重的数据泄露”。该公司的两个生产数据库都完全开放在互联网上,结果,240万用户产生的大量敏感信息被泄露。

泄露的数据包括以下内容:

  • 购买摄像机并将摄像机联接到家中的用户的用户名和邮件
  • 240 万用户中 24% 位于 EST 时区(其余用户分散在美国、英国、阿联酋、埃及和马来西亚部分地区的其余区域)
  • 与家庭成员共享过摄像机访问的任何用户的电子邮件
  • 家中所有摄像机的列表、每个摄像机的昵称、设备型号和固件版本
  • WiFi SSID,内部子网布局,相机最后一次按时登录,从应用最后一次登录时间,从应用程序最后一次注销时间
  • API令牌,用于从任何 iOS 或 Android 设备访问用户帐户
  • Alexa令牌,适用于将Alexa设备连接到Wyze摄像机的 24,000名用户
  • 部分用户的身高、体重、性别、骨密度、骨量、每日蛋白质摄入量和其他健康信息

Wyze已经证实了泄漏。我们确认一些Wyze用户数据没有正确保护,并在12月4日至12月26日暴露。我们从主要生产服务器复制了一些数据,并将其放入一个更灵活的数据库,更易于查询。此新数据表在最初创建时受到保护。但是,12月4日,Wyze员工在使用此数据库时犯了一个错误,并且删除了以前用于此数据的安全策略。我们仍在调查这一事件,以找出为什么和如何发生这种情况。

该漏洞始于 12 月 4 日,并不涉及我们的任何生产数据表。虽然重要,但此数据库仅包含数据子集。它不包含用户密码或政府监管的个人或财务信息。它确实包含客户电子邮件以及相机昵称、WiFi SSID、Wyze 设备信息、少量产品测试仪的车身指标以及与 Alexa 集成相关的有限令牌。