物联网制造商威斯遭遇数据泄露

作者：王韵壹、李英、熊慧卿

网络安全公司Twelve Security最先注意到并宣布了这个问题。该公司表示，被曝光的信息包括电子邮件地址、家中的摄像头列表、API令牌、WiFi ssid，以及身高、体重、性别、骨密度和体重、蛋白质摄入量等健康数据。

这12名安全研究员写道:“如果这是蓄意的间谍行为或重大疏忽，那么它仍然是一种恶意行为，美国当局必须以果断、外部和快速调查的方式予以回应。”

根据我的记录，怀兹有大量的弹性搜索集群被公开曝光。它包括1,807,201,457条记录:日志数据、API请求和事件。

Wyze联合创始人宋东升证实，用户数据没有得到妥善保护，并在12月4日至12月26日期间暴露。他强调，密码和个人财务信息不包括在这次泄露中，并补充说数据库(一个Elasticsearch系统)不是一个生产系统，尽管它存储用户数据。

为了帮助管理Wyze的快速增长，我们最近启动了一个新的内部项目，以找到更好的方法来测量基本的业务指标，如设备激活、失败连接率等。

我们从主要的生产服务器中复制了一些数据，并将其放入更灵活的数据库中，以便于查询。这个新的数据表在最初创建时是受保护的。然而，12月4日，Wyze的一名员工在使用该数据库时犯了一个错误，删除了该数据之前的安全协议。我们仍在调查这一事件，以找出原因和如何发生。

Wyze否认了12份证券报告的某些部分，包括泄露API令牌、骨密度信息和蛋白质摄入量，尽管它承认一小部分beta测试者的“身体指标”暴露了出来。该公司正在调查泄漏事件，并计划通过电子邮件通知受影响的客户。