Wyze服务器泄漏暴露了240万用户的客户数据

这家智能安全相机制造商承认，一台不安全的服务器在三周内暴露了Wyze客户的数据。12月26日公布调查结果的网络安全公司“十二安全”首先发现了这起泄密事件，而专注于视频监控产品的博客IPVM则能够证实自己的数据受到了泄密事件的影响。据“十二安全”称，约240万Wyze客户的数据被泄露。

在一篇向用户宣布泄密的论坛帖子中，Wyze联合创始人宋东生写道，暴露的服务器不是生产服务器，而是一个“灵活的数据库”，它的创建是为了让客户数据能够更快地被查询。这位联合创始人说，一个员工的错误导致服务器的安全协议在12月4日被删除，直到12月26日公司才意识到这个问题。

在其关于泄漏的博客文章中，“十二安全”说，服务器包括用户名、电子邮件地址、相机昵称、设备模型、固件信息、Wi-FiSS ID详细信息、iOS和Android的API令牌，以及与亚马逊语音助手连接其安全摄像机的用户的Alexa令牌。（怀泽说，数据库不包括用户密码。）这家网络安全公司还声称，该数据库包含了大量的健康信息，包括身高、体重、骨密度和每日蛋白质摄入量。宋庆龄证实，一些健康信息是由于一种新的智能秤产品的β测试而出现的，但对其曾经收集过关于骨密度和每日蛋白质摄入量的信息表示异议。

12家安防甚至声称，有“明确的迹象”数据正在发送给中国的阿里云。宋的论坛帖子对此提出异议。他说，Wyze不使用阿里云，尽管它有员工和制造合作伙伴，但它没有与任何政府机构共享用户数据。

针对这一安全漏洞，宋说，Wyze已经开始对其所有服务器和数据库进行审计，并发现了另一个未受保护的数据库。他还表示，该公司正在重新审视其安全准则的“各个方面”。与此同时，联合创始人表示，Wyze用户应该警惕网络钓鱼攻击，该公司已经将其所有用户的账户注销，并解除其第三方集成链接，以试图堵塞由泄露的API和Alexa令牌引起的安全漏洞。

数据泄露是在Wyze艰难的一年结束时发生的。该公司在7月宣布了一项新的人工智能人力检测功能，为其负担得起的安全摄像头提供服务，但它在11月推出了与其合作的人工智能初创公司，这让人们对该功能的未来产生了怀疑。其订阅服务的推出也需要在同一个月因未指明的“关键问题”而推迟。

宋很想强调的是，该公司的预算价格并不意味着它对安全的重视程度就会降低。“我们经常听到人们说，‘你为你所得到的付出代价’，假设Wyze产品不那么安全，因为它们不那么昂贵。这不是真的，”联合创始人写道。“我们一直非常认真地对待安全问题，我们对这样让用户失望感到震惊。