智能家居制造商Wyze Labs证实,从12月4日到12月26日这超过三个多星期的时间内,超过240万用户的数据暴露在存在未授权缺陷的Elasticsearch中。
该公司是在12月26日上午9点21接收到IPVM记者的联系,从而发现这一起数据泄露的。不过,IPVM随后立即在“9点35分”发表了一篇文章,报告这个由安全咨询公司Twelve Security所发现的安全事件。
Wyze的联合创始人兼首席产品官宋东升在一篇博客文章中表示,某些报道的信息并不准确。
对于Twelve Security和IPVM所报道的新闻,宋东升表示:“我们不会向阿里云发送数据,也不会收集骨密度和每日蛋白质摄入量等信息,即使是正在测试产品都不会这样做。过去六个月,我们从没有发生过类似数据泄露事件。”
不安全的数据库
这些不安全的数据是该公司生产数据库的副本,其中包含由Wyze创建的大量用户信息,主要被用来查询连接设备的数量、连接错误等(用来衡量一些基本的业务指标等)。
宋东升表示:“像类似的查询(如上所述)很耗费计算机资源,会极大影响客户的产品体验。因此我们专门创建了一个单独的数据库来处理那些较为复杂的请求。”
该数据库最初的配置是很安全的,并不会暴露Wyze客户的数据,但一名员工在12月4日使用它时错误地删除了某些安全配置。
宋东升补充道:“在我们确认是否是该数据库暴露之前,就已经锁死了这个有问题的数据库。这样做是为了以防万一,因为在公开的文章引用了一个指向Elasticsearch的数据库连接工具,我们也使用了这个搜索工具。”
这个属于Wyze的Elasticsearch也得到了安全发现研究员Bob Diachenko的确认,他表示数据库中共有1807201457条记录,包括日志数据、API请求和各类事件。
泄露的用户信息
Wyze的CPO表示,这个Elasticsearch中包含客户电子邮件、相机昵称、WiFi SSID、Wyze设备信息、大约24000个与Alexa相关的令牌,以及少数测试产品体验者的身高、体重、性别和其他健康信息等。
为了对新硬件进行测试,Wyze将140名产品体验人员的健康信息也存储在这个有问题的Elasticsearch中。
不过,宋东升表示,该数据库“不包含用户密码、个人敏感信息和财务信息”,这与Twelve Security的报告内容有所不同。
此外,Wyze的联合创始人还表示,“没有证据表明iOS和Android版本应用的API令牌被曝光,不过为了以防万一,我们还是决定立刻更新它们。”
关于此次安全事件的后续影响,Wyze建议其客户对可能发生的网络钓鱼保持高度警惕,因为未知攻击者很可能已拥有他们的电子邮件地址。
此外,Wyze还注销了所有用户登录,调整令牌,并对数据库增加了其他保护(调整权限规则,只允许某些白名单中的IP访问)。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场:https://nosec.org/home/detail/3711.html 来源:https://www.bleepingcomputer.com/news/security/wyze-exposes-user-data-via-unsecured-elasticsearch-cluster/
来源:freebuf.com 2019-12-30 17:33:36 by: 白帽汇
请登录后发表评论
注册