亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

近日，智能家居技術(shù)制造商 Wyze Labs 首席執(zhí)行官宋東升發(fā)布公告證實(shí)，從 12 月 4 日至 12 月 26 日，在超過(guò)三周的時(shí)間內(nèi)，連接到 Elasticsearch 集群的生產(chǎn)數(shù)據(jù)庫(kù)泄露了超過(guò) 240 萬(wàn)用戶的用戶數(shù)據(jù)。

接到安全媒體 IPVM 的通知后 6 小時(shí)內(nèi)，Wyze 緊急注銷(xiāo)了所有攝像頭用戶賬戶，用戶需要重新登錄其帳戶并生成新的雙因子認(rèn)證 (2FA) 代碼，以連接到 Alexa，Google 助手或 IFTTT 的 Wyze 關(guān)聯(lián)服務(wù)。

最早曝光該事件的 Twelve Security（十二安全）公司在博客發(fā)布安全報(bào)告稱(chēng)泄露數(shù)據(jù)被傳回了阿里云。

小米被針對(duì)

此外 Twelve Security 的報(bào)告指出 Wyze 泄露的數(shù)據(jù)包括大量用戶隱私信息，而且 “存儲(chǔ)中國(guó)用戶數(shù)據(jù)的數(shù)據(jù)庫(kù)是加鎖的，而存儲(chǔ)美國(guó)用戶信息的數(shù)據(jù)庫(kù)卻（不小心）門(mén)洞打開(kāi)”。

Twelve Security的泄露信息包括：

1. 購(gòu)買(mǎi)相機(jī)然后將其連接到家中網(wǎng)絡(luò)的用戶名和電子郵件；

2. 在240萬(wàn)用戶中，有24％位于EST時(shí)區(qū)（其余時(shí)間分散在美國(guó)，英國(guó)，阿聯(lián)酋，埃及和馬來(lái)西亞部分地區(qū)的其余地區(qū)）；

3. 他們?cè)?jīng)與他人共享攝像機(jī)訪問(wèn)權(quán)限的任何用戶的電子郵件，例如家庭成員；

4. 家庭中所有攝像機(jī)的列表，每個(gè)攝像機(jī)的昵稱(chēng)，設(shè)備型號(hào)和固件；

5. WiFi SSID，內(nèi)部子網(wǎng)布局，攝像機(jī)的上次啟動(dòng)時(shí)間，從應(yīng)用程序上次登錄的時(shí)間，從應(yīng)用程序上次注銷(xiāo)的時(shí)間；

6. API令牌，可從任何iOS或Android設(shè)備訪問(wèn)用戶帳戶；

7. 已將Alexa設(shè)備連接到Wyze相機(jī)的24,000位用戶的Alexa令牌；

8. 一部分用戶的身高，體重，性別，骨密度，骨質(zhì)量，每日蛋白質(zhì)攝入量和其他健康信息。

Twelve Security 在安全報(bào)告中還反復(fù)暗示此次數(shù)據(jù)泄露并非一次偶然的安全事故，而是有預(yù)謀的計(jì)劃，報(bào)告聲稱(chēng) Wyze 的實(shí)際控制者就是小米公司，其技術(shù)架構(gòu)包括 GitLab 服務(wù)器和數(shù)據(jù)庫(kù)有相當(dāng)一部分在中國(guó)（下圖，該信息并未得到 Wyze 的官方確認(rèn)）。

在海外市場(chǎng)啟用全新品牌是國(guó)內(nèi)廠商拓展海外市場(chǎng)比較常見(jiàn)的國(guó)際化營(yíng)銷(xiāo)策略，例如 TikTok 就是海外版的抖音，而 WyzeCam 其實(shí)就是米家小方智能攝像機(jī)的一個(gè)升級(jí)版本（下圖），最大的區(qū)別就是集成了亞馬遜的 AWS 云服務(wù)。

但值得注意的是，安全咨詢(xún)公司 Twelve Security 曝光 Wyze 數(shù)據(jù)庫(kù)違規(guī)泄露風(fēng)險(xiǎn)時(shí)，并未按照常規(guī)做法先通知 Wyze，而是直接向外界公布了暴露數(shù)據(jù)庫(kù)的信息，導(dǎo)致紛沓而來(lái)的各路安全人士 “踩踏數(shù)據(jù)泄露現(xiàn)場(chǎng)”，使得Wyze很難核定數(shù)據(jù)泄露的實(shí)際規(guī)模。此外，在Wyze被 Twelve Security 密切跟蹤爆料不到兩個(gè)月前，TikTok 剛剛因?yàn)?“潛在的國(guó)家安全危險(xiǎn)” 接受美國(guó)外國(guó)投資委員會(huì) (CFIUS) 的調(diào)查。

作為中國(guó)科技業(yè)進(jìn)軍海外市場(chǎng)頗為成功的兩個(gè)典范，Tikok 和 Wyze 幾乎是同時(shí)陷入了境外隱私合規(guī)與數(shù)據(jù)安全問(wèn)題的泥沼。

Wyze 聯(lián)合創(chuàng)始人兼首席產(chǎn)品官宋東升昨日在博客中澄清，包括 IPVM 在內(nèi)的某些渠道的報(bào)道信息并不準(zhǔn)確。

他在回應(yīng) Twelve Security 報(bào)告和 IPVM 的報(bào)道時(shí)說(shuō)：

我們不會(huì)將數(shù)據(jù)發(fā)送到阿里云。而且，即使是 beta 測(cè)試中的產(chǎn)品，我們也不會(huì)收集有關(guān)骨密度和每日蛋白質(zhì)攝入量的信息。而且六個(gè)月前我們沒(méi)有發(fā)生（Twelve Security所聲稱(chēng)的）類(lèi)似的違規(guī)事件。

麻煩不斷的Elasticsearch

從 Wyze 官方確認(rèn)的信息來(lái)看，泄露數(shù)據(jù)的 Elasticsearch 數(shù)據(jù)庫(kù)是 Wyze 生產(chǎn)數(shù)據(jù)庫(kù)的副本，其中包含所有用戶信息的子集。可以查詢(xún)已連接設(shè)備的數(shù)量，連接錯(cuò)誤來(lái) “測(cè)量基本業(yè)務(wù)指標(biāo)，例如設(shè)備激活，連接失敗率” 等等。

就計(jì)算機(jī)資源而言，諸如此類(lèi)的查詢(xún)開(kāi)銷(xiāo)很大，會(huì)嚴(yán)重影響用戶產(chǎn)品體驗(yàn)。因此，我們創(chuàng)建了一個(gè)單獨(dú)的數(shù)據(jù)庫(kù)，專(zhuān)門(mén)用于處理那些較繁重的請(qǐng)求。

雖然最初對(duì)暴露數(shù)據(jù)庫(kù)進(jìn)行了正確的配置以保護(hù) Wyze 的客戶，但 12 月 4 日，一名 Wyze 員工在使用時(shí)又錯(cuò)誤地刪除了安全協(xié)議。

在驗(yàn)證數(shù)據(jù)庫(kù)是否泄露之前，我們已經(jīng)鎖定了有問(wèn)題的數(shù)據(jù)庫(kù)。我們這樣做是為了預(yù)防，因?yàn)橐呀?jīng)發(fā)表的文章提到了與 Elasticsearch 相關(guān)的數(shù)據(jù)庫(kù)：這也是我們?cè)诓樵?xún)數(shù)據(jù)庫(kù)中使用的搜索工具。

安全研究員 Bob Diachenko 也證實(shí)了 Wyze 暴露了 Elasticsearch 集群的信息包含 1,807,201,457 條記錄，包括日志數(shù)據(jù)，API 請(qǐng)求和事件：

實(shí)際上，在 Wyze 之前，Elasticsearch 數(shù)據(jù)庫(kù)已經(jīng)成了 2019 年的 “年度泄露之王“，超大規(guī)模的泄露警報(bào)幾乎月月紅：

• 去年 12 月，另一個(gè)包含 8200 萬(wàn)美國(guó)人個(gè)人信息的數(shù)據(jù)庫(kù)在網(wǎng)上暴露了出來(lái)。
• 今年1月份，一家在線賭博網(wǎng)站Elasticsearch泄露了超過(guò) 1.08 億筆投注信息和客戶資料。
• 今年1月，百安居一個(gè)存有70000 多名盜竊者信息的Elasticsearch服務(wù)器被暴露。
• 今年早些時(shí)候，Elasticsearch服務(wù)器上公開(kāi)了超過(guò)2000萬(wàn)俄羅斯公民的個(gè)人信息。
• 今年5月，在 Freedom Mobile 的 Elasticsearch 數(shù)據(jù)庫(kù)泄漏后，包含數(shù)百萬(wàn)加拿大人 CVV 碼的個(gè)人和支付卡數(shù)據(jù)再次暴露。
• 11月，一個(gè)包含12億用戶賬戶的Elasticsearch服務(wù)器被公開(kāi)在暗網(wǎng)上。
• 12月，SecurityDiscovery網(wǎng)站發(fā)現(xiàn)了一個(gè)巨大的ElasticSearch數(shù)據(jù)庫(kù)，包含超過(guò)27億個(gè)被盜的電郵地址，其中有10億個(gè)密碼都是簡(jiǎn)單的明文。大多數(shù)被盜的郵件域名都來(lái)自中國(guó)的郵件提供商，比如騰訊、新浪、搜狐和網(wǎng)易，雅虎gmail和一些俄羅斯郵件域名也受了影響。

到底暴露了哪些Wyze用戶信息？

Wyze 首席隱私官 (CPO) 確認(rèn)了一些與 Twelve Security 12 月 26 日?qǐng)?bào)告信息有關(guān)的信息。他表示，這個(gè)不安全的數(shù)據(jù)庫(kù)確實(shí)包含客戶電子郵件和攝像頭名稱(chēng)、WiFi SSID、Wyze 設(shè)備信息、與 Alexa 集成相關(guān)的大約 24,000 個(gè)令牌以及身體身高（包括身高，體重，性別和其他少量健康信息），還包括一些 Beta 產(chǎn)品測(cè)試員的信息。

泄露數(shù)據(jù)中IPVM某雇員的信息(與Wyze的說(shuō)法比較吻合)

作為新硬件 Beta 測(cè)試的一部分，Wyze 在公開(kāi)數(shù)據(jù)庫(kù)中還存儲(chǔ)了 140 個(gè)外部 Beta 測(cè)試人員的健康信息。

但是，宋東升補(bǔ)充說(shuō)，該數(shù)據(jù)庫(kù) “未包含用戶密碼或政府管制的個(gè)人或財(cái)務(wù)信息”，與 Twelve Security 在其報(bào)告中提供的信息相左。

此外，Wyze 的聯(lián)合創(chuàng)始人還表示：沒(méi)有證據(jù)顯示 iOS 和 Android 的 API 令牌已被暴露，但我們?yōu)轭A(yù)防起見(jiàn)，決定在開(kāi)始調(diào)查時(shí)更新它們。

對(duì)于此安全事件的影響，Wyze 建議其用戶警惕未來(lái)的網(wǎng)絡(luò)釣魚(yú)攻擊，因?yàn)榈谌娇赡軙?huì)擁有用戶電子郵件地址。

作為一種預(yù)防措施，Wyze 通過(guò)刷新令牌來(lái)注銷(xiāo)所有用戶，并 “為我們的系統(tǒng)數(shù)據(jù)庫(kù)添加了另一級(jí)別的保護(hù)（調(diào)整了一些權(quán)限規(guī)則，并添加了僅允許某些列入白名單的IP訪問(wèn)數(shù)據(jù)庫(kù)的預(yù)防措施）”。

這些措施的直接結(jié)果是，所有 Wyze 客戶都必須在下次訪問(wèn)其帳戶，連接 Alexa，Google Assistant 或 IFTTT 集成時(shí)重新登錄。

新的漏點(diǎn)

截至本文發(fā)稿，宋東升在 Wyze 社區(qū)中的最后更新日期是 29 日，透露又發(fā)現(xiàn)一個(gè)不安全數(shù)據(jù)庫(kù)，內(nèi)容摘譯如下：

我們希望為大家提供有關(guān)正在進(jìn)行的調(diào)查（19/26/19上報(bào)告的數(shù)據(jù)泄漏）的最新信息。

從那時(shí)起，我們一直在審核所有服務(wù)器和數(shù)據(jù)庫(kù)，并發(fā)現(xiàn)了另一個(gè)不受保護(hù)的數(shù)據(jù)庫(kù)。這不是生產(chǎn)數(shù)據(jù)庫(kù)，我們可以確認(rèn)密碼和個(gè)人財(cái)務(wù)數(shù)據(jù)未包含在該數(shù)據(jù)庫(kù)中。我們?nèi)栽谘芯啃孤┝四男┢渌畔⒁约皩?dǎo)致該泄漏的情況。我們要感謝 Wyze 社區(qū)成員，我們?cè)?12/27 更新后不久就此事與我們私下聯(lián)系。他們的協(xié)助幫助我們那天晚上迅速解決了這個(gè)漏洞。