物联网厂商Wyze泄露240万用户数据

智能家居制造商Wyze Labs证实，从12月4日到12月26日这超过三个多星期的时间内，超过240万用户的数据暴露在存在未授权缺陷的Elasticsearch中。

该公司是在12月26日上午9点21接收到IPVM记者的联系，从而发现这一起数据泄露的。不过，IPVM随后立即在“9点35分”发表了一篇文章，报告这个由安全咨询公司Twelve Security所发现的安全事件。

Wyze的联合创始人兼首席产品官宋东升在一篇博客文章中表示，某些报道的信息并不准确。

对于Twelve Security和IPVM所报道的新闻，宋东升表示：“我们不会向阿里云发送数据，也不会收集骨密度和每日蛋白质摄入量等信息，即使是正在测试产品都不会这样做。过去六个月，我们从没有发生过类似数据泄露事件。”

不安全的数据库

这些不安全的数据是该公司生产数据库的副本，其中包含由Wyze创建的大量用户信息，主要被用来查询连接设备的数量、连接错误等（用来衡量一些基本的业务指标等）。

宋东升表示：“像类似的查询（如上所述）很耗费计算机资源，会极大影响客户的产品体验。因此我们专门创建了一个单独的数据库来处理那些较为复杂的请求。”

该数据库最初的配置是很安全的，并不会暴露Wyze客户的数据，但一名员工在12月4日使用它时错误地删除了某些安全配置。

宋东升补充道:“在我们确认是否是该数据库暴露之前，就已经锁死了这个有问题的数据库。这样做是为了以防万一，因为在公开的文章引用了一个指向Elasticsearch的数据库连接工具，我们也使用了这个搜索工具。”

这个属于Wyze的Elasticsearch也得到了安全发现研究员Bob Diachenko的确认，他表示数据库中共有1807201457条记录，包括日志数据、API请求和各类事件。

泄露的用户信息

Wyze的CPO表示，这个Elasticsearch中包含客户电子邮件、相机昵称、WiFi SSID、Wyze设备信息、大约24000个与Alexa相关的令牌，以及少数测试产品体验者的身高、体重、性别和其他健康信息等。

为了对新硬件进行测试，Wyze将140名产品体验人员的健康信息也存储在这个有问题的Elasticsearch中。

不过，宋东升表示，该数据库“不包含用户密码、个人敏感信息和财务信息”，这与Twelve Security的报告内容有所不同。

此外，Wyze的联合创始人还表示，“没有证据表明iOS和Android版本应用的API令牌被曝光，不过为了以防万一，我们还是决定立刻更新它们。”

关于此次安全事件的后续影响，Wyze建议其客户对可能发生的网络钓鱼保持高度警惕，因为未知攻击者很可能已拥有他们的电子邮件地址。

此外，Wyze还注销了所有用户登录，调整令牌，并对数据库增加了其他保护（调整权限规则，只允许某些白名单中的IP访问）。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3711.html
来源：https://www.bleepingcomputer.com/news/security/wyze-exposes-user-data-via-unsecured-elasticsearch-cluster/