IoT 廠商 Wyze 證實大規模資料外洩,內部操作失誤造成

作者 | 發布日期 2019 年 12 月 30 日 19:23 | 分類 資訊安全 Telegram share ! follow us in feedly


不少人擔憂的 IoT 裝置資安問題,如今在美國放聖誕節假期的時候爆出一例,而且因為 IoT 屬性緣故,出事之後造就的影響數量級也相當恐怖。美國 IoT 廠商 Wyze 出事,有總計 240 萬用戶受到影響,用戶裝置的 log 檔暴露在外。

資安公司 Twelve Security 發文說 Wyze 的資料庫暴露在外,供人任意連線。Wyze CEO Dongsheng Song 坦言內部的資料庫不小心外漏出去。Wyze 說他們內部的 Elasticsearch cluster 出問題,導致他們生產的聯網監示器、智慧插座、智慧門鎖出問題,240 萬戶受到影響。

Twelve Security 和另一家資安公司 IPVM 都有向 Wyze 回報資料庫外洩的問題,不過只給予 Wyze 14 分鐘修正,Wyze 反映給太少時間反應了。

▲ IPVM 貼出洩漏的資料庫的截圖畫面,證明 Wyze 的資料外洩。(Source:IPVM)

Twelve Security 的部落格文章聲稱 Wyze 收集個人的身高、體重、血壓等健康資料,但 Wyze 否認相關指控。另外也否認 Twelve Security 指控 Wyze 將資料傳到位於中國,阿里巴巴的雲端伺服器。

IPVM 確認 Twelve Security 提出的聲明正確性,不過兩方沒釋出多少外洩資料庫的截圖,只說資料都曝露到網路上,可以自行驗證。

Wyze 說他們月初要應對服務成長,開始一項內部計劃,打算要能夠更好的掌握機器的基本數據,如啟用率、連線失敗率等。因此 Wyze 從工作資料庫當中複製資料到比較好實驗,有更多彈性的資料庫,卻忘了將原先工作資料庫的保護回復,因而導致資料庫暴露在外。

由於 Wyze 的主力產品為 25 美元一個,超低價錢的聯網監視鏡頭,目標客戶不大在意潛在的資安風險,一旦出現資安問題導致相當大的風波。未來 IoT 隨著應用普及程度更多,只會造成一有資安事件,影響程度越來越大。

(首圖來源:pxfuel, CC0)