Wyze数据泄漏：服务器错误的主要收获是暴露了240万客户的信息

 
西雅图视频初创公司Wyze是一家家用摄像机和其他物联网(IoT)设备的提供商，该公司于12月26日宣布已获悉“数据泄漏”，据报道该数据泄露了240万客户的个人信息。
该问题源于“一个新的内部项目，该项目旨在找到更好的方法来衡量基本的业务指标，例如设备激活，失败的连接速率等，” Wyze联合创始人兼首席产品官宋东升写道。
他解释说：“我们从主要生产服务器中复制了一些数据，并将其放入更灵活的数据库中，以便于查询。” “此新数据表最初创建时受到保护。但是，Wyze员工在12月4日使用此数据库并删除了该数据的先前安全协议时犯了一个错误。
Wyze由一群亚马逊退伍军人于2017年创立，提供一系列低价相机，插头，灯泡和其他智能家居设备。该公司位于华盛顿州柯克兰，已筹集了2000万美元的风险投资。 GeekWire已联系Wyze以获取更多评论。
Wyze值得称赞的是，它非常详细地描述了发生的事情，时间，原因，方式以及公司对此所做的事情。
Twelve Security的一则帖子声称泄漏的数据包括以下内容：
购买相机然后将其连接到家中的用户的用户名和电子邮件
他们曾经与他人共享摄像机访问权限的任何用户的电子邮件，例如家庭成员
家庭中所有摄像机的列表，每个摄像机的昵称，设备型号和固件
WiFi SSID，内部子网布局，摄像机的上次启动时间，从应用程序上次登录的时间，从应用程序上次注销的时间
API令牌，可从任何iOS或Android设备访问用户帐户
已将Alexa设备连接到Wyze相机的24,000位用户的Alexa令牌
一部分用户的身高，体重，性别，骨密度，骨质量，每日蛋白质摄入量和其他健康信息
Wyze在其原始帖子中引用了该列表，但补充说：“即使从目前处于beta测试的产品中，我们也不会收集有关骨密度和每日蛋白质摄入量的信息。”
在查看此事件时，有十个关键的安全性和隐私要点。
1)关于“负责任披露”的另一种论点
Wyze一直非常了解泄漏的通知方式，很少或根本没有时间缓解该问题，直到它被公开。 ZDNet的Catalin Cimpanu总结了许多人(可能包括Wyze)对于此披露是否“负责任”的感受。
这不是“负责任的公开”的工作方式。
过去，我已经等了好几个星期来保护一些公司的服务器安全。
这些家伙等不及了。谈论自己不专业。
14分钟(我不好，不是9分钟)表示您实际上根本不在乎披露问题pic.twitter.com/EWmV33rQD6
-Catalin Cimpanu(@campuscodi)2019年12月29日
这些是合理合理的关切。就像“公开战争”的情况一样，可能不会有任何解决方案，而是双方争论的重新宣扬。那些支持该公开的人可以并且会说该信息已经公开了好几天，而保留该信息会延长风险。反对者会说，这还不足以使供应商采取行动。无论哪种方式，这种情况都表明，只要在如何处理这些情况上未达成集体协议，披露战争就将继续。
2)Wyze迅速回应
Wyze值得一提的是：一旦它破裂，他们显然很快就跳了起来。该公司的帖子指出：“在得知潜在违规行为后，Wyze立即动员了适当的开发商和高管(CEO和CPO)来解决这些指控。”
稍后再加上：“这意味着所有Wyze用户帐户都已注销并被迫再次登录(以防万一，以防止博客中提到的用户令牌被盗用)。用户还需要与Google Assistant，Alexa和IFTTT重新链接集成。”
这种级别的响应和这些步骤对于解决可能丢失的身份验证令牌周围的风险是合理的。这些也是会给用户带来负担的动作。
回到我们的第一点，人们可以并且将会争论这种回应的多少归因于本公开的性质。但是这些都是好的，具体的步骤，将安全性放在了易用性之前：Wyze为提高安全性而冒着用户沮丧的风险。
3)但是Wyze不会强制重置密码
但是，Wyze没做的一件事就是强迫用户重置密码。虽然Wyze说密码并未被盗，但通常很难确定。而且，如果涉及Amazon Ring的当前情况对我们有所启发，那就是人们经常重用密码，尤其是在涉及IoT设备的地方。不强制重设密码会丢失一次彻底响应以提高整体客户安全性的机会。
4)这与Ring情况不同且更严重
Ring最近因“被黑客入侵”而成为新闻。正如我所指出的，这些黑客攻击的本质归结为依赖密码的固有弱点。这种情况有所不同，因为它泄露了Wyze持有的数据。实际上，似乎甚至没有密码信息。
在这种情况下，即使您使用了双重身份验证(2FA)，也仍然有遭受此数据泄露的风险。
如果Ring情况使我们想起了密码重用的风险以及密码作为IoT安全措施的整体弱点，则此漏洞有助于向我们展示丢失物联网和家庭健康相关设备使用的数据类型所固有的风险。
5)这表明物联网数据泄露可能意味着什么
就其本质而言，物联网设备已集成到我们最亲密的空间中。正如我们在对Ring情况的反应中所看到的，照相机尤其代表了进入我们受保护最严格的个人空间的主要窗口。
通过查看在此违规中可能丢失的信息，我们可以更具体地了解IoT数据违规的含义。
Wyze特别指出，数据丢失包括：“家庭中所有摄像机的列表，每个摄像机的昵称，设备型号和固件。 WiFi SSID，内部子网布局，摄像头的上次启动时间，应用程序的上次登录时间，应用程序的上次注销时间。”
该数据令人不安，因为它可以提供非常具体的信息，对现实世界的犯罪非常有用。人们经常以对自己具有描述性的方式来命名设备，而不希望它们被公众所知道。例如，人们可能将儿童房中的摄像机命名为“贝蒂的房间”。这样的信息可以使攻击者获得有关房屋中谁的信息，他们可能在哪里以及将要放置摄像机的位置。对于想出于恶意目的进入房屋的人而言，所有这些信息都是有用的信息。
Wyze不建议(我建议)的一件事是，用户重命名其内部WiFi SSID，重命名其相机并可能重新定位这些相机。所有这些步骤可以减轻现在可以公开访问该信息的风险。
6)物联网健康数据非常个人
另一个公开的数据是：“身高，体重，性别，骨密度，骨量，每日蛋白质摄入量以及部分用户的其他健康信息。”
Wyze竭尽全力指出，这些信息丢失仅影响其用户的一小部分，特别是“ 140个外部Beta测试人员”。是的，这是一小部分人。但是公开的信息是非常敏感的个人健康信息。这提醒了物联网和医疗设备正在处理的数据的性质。
7)与第一资本违约相似
与Capital One数据泄露的相似之处令人震惊。正如Wyze所说，在这种情况下：“ Wyze员工在12月4日使用此数据库并删除了该数据的先前安全协议时犯了一个错误。”
尽管这与Capital One完全不一样，但是在两种情况下，由于人为错误，您都可以在云中访问数据而没有适当的安全保护。还值得注意的是，在两种情况下，审计和监视都未能发现配置错误。
这两种情况都提醒我们，不幸的是，将事物部署到云中时，暴露和破坏的风险通常更大。在IT运营和实践方面，对于云部署而言，控制和对策通常不如传统的“本地部署”部署那样健壮和成熟。
8)速杀
对于初创公司来说，也有两个教训。一种是警告，另一种可能是积极的。
首先是警示故事：速度杀人。
再次值得称赞的是，Wyze对发生的事情持开放态度，对于初创企业来说，这是一个非常明确的信息。在公司的帖子中：“为帮助管理Wyze的快速增长，我们最近发起了一个新的内部项目，以寻找更好的方法来测量基本业务指标，例如设备激活，连接失败率等。服务器，并将其放入更易于查询的更灵活的数据库中。”
对于初创公司来说，这里发生了两件事。首先，公司经历了突然的快速增长。其次，它迅速采取行动以应对增长的影响。
如上所述，正是在此“快速行动”期间，某个员工删除了保护数据的安全性。
Wyze能够迅速采取行动来解决与其快速增长相关的问题，这是很棒的。但这也提醒我们，速度会杀死人。当事态发展很快且几乎没有检查时，就会发生错误。这是所有初创企业都面临并且应该意识到的风险。
9)速度可以救你
当然，可以杀死您的创业公司速度也可以挽救您。我们从Wyze看到的快速响应就是初创企业可以达到的速度的一个例子。声明显示了该速度的另一个积极方面，该声明将“提高用户请求的安全功能的优先级，使其超出2要素身份验证”。
如果我们将此与Ring对当前情况的反应进行比较和对比，则差异是明显的。 Ring遭到黑客入侵后，Ring尚未宣布任何旨在提高安全性的重大计划。相比之下，Wyze承诺尽早并公开承诺重新设计其对用户要求的新安全功能的优先级。
这也是给初创公司的另一课：利用成为初创公司的速度和敏捷性，您可以迅速采取行动，将劣势变成优势。
提出这一主张而Wyze认为有必要反驳这一事实，表明了另一点收获：最近出现了一种几乎“麦卡锡特”的新兴趋势，这暗示或声称与中国有联系的科技公司正在将数据存储在中国和/或与中国政府共享数据。关于TikTok，我们也看到过类似的暗示。
在某种程度上，这代表了一种猜测，当公司本身不提供有关其数据存储位置的明确信息时，这种猜测可以填补空白。几年前，尤其是在欧洲，人们担心数据存储在美国，并且根据《爱国者法案》可能会对其进行扣押。现在，人们担心数据存储在中国并可以由中国政府访问。
公司可以减轻这种担忧的一件事就是公开存储数据的位置。
除此之外，尽管如此，现在明显增加了对与中国存储和共享数据的担忧，并且这种担忧体现在有关在中国存储或运送数据的索赔和暗示中。
Wyze违规是严重的事件。 Wyze因迅速做出正确的反应而应得的荣誉。但是，随着我们对其的深入研究，我们可以看到这种情况引发了有关物联网设备，数据存储，安全性和事件响应的许多问题。
我们都可以从中学到东西，这就是为什么Wyze团队如此开放并事先了解情况的原因之一：它有助于行业共同学习和发展。而且由于Wyze是一家初创公司，因此它的经验和响应为IoT领域中的其他新兴公司提供了特别的经验教训。
更新：Wyze在12月29日发布的帖子更新中披露了另一个问题。
从那时起，我们一直在审核所有服务器和数据库，并发现了另一个不受保护的数据库。这不是生产数据库，我们可以确认密码和个人财务数据未包含在该数据库中。我们仍在研究泄漏了哪些其他信息以及导致该泄漏的情况。
我们还对上面的帖子进行了澄清，以指出Wyze表示它不收集有关蛋白质摄入或骨骼密度的信息，而有报道称此类数据已包含在泄漏中。