Wyze是一家销售安全设备的物联网公司，如安全摄像机、智能插头、智能灯泡和智能门锁等。该公司昨日证实发生了服务器数据泄漏事件，该事件泄露了大约240万客户的详细信息。此外，该240万用户的详细信息在网上暴露了22天。

Wyze联合创始人宋东升在圣诞节期间发表论坛帖子说，该事件是内部数据库意外暴露在网上导致的。宋说，曝光的数据库是一个Elasticsearch系统，不是生产系统。但是，服务器存储着有效的用户数据。Elasticsearch服务器运用了一种支持超快速搜索查询的技术，旨在帮助该公司对大量用户数据进行分类。

对此，Wyze高管说明：

为了帮助管理Wyze快速增长的用户群体，我们最近启动了一个新的内部项目，用来衡量基本的业务指标，例如设备激活、连接失败率等。我们从主要生产服务器复制了一些数据，并将其放入更灵活的数据库中，以便于查询。最初创建此新数据表时，该数据表是安全的。但是，Wyze员工在12月4日使用此数据库时犯了一个错误，导致该数据表先前的安全协议被删除。我们仍在调查此事件，以找出发生原因和方式。

泄漏数据的服务器是由网络安全咨询公司Twelve Security发现并记录的，并由IPVM（致力于视频监控产品的博客）的记者进行了确认。

宋对Twelve Security和IPVM双方处理数据泄露的方式表示不满，在公开调查结果之前，Wyze仅用了14分钟的时间解决了数据泄漏的问题。

IPVM.com的一位记者于12月26日上午9点21分通过支持票与我们取得了联系。随后迅速报道了该资讯（在上午9:35发表至Twitter）。一家私人安全公司的博客文章也于12月26日发布。我们在大约上午10点才从该文章的社区成员那里获悉。

宋确认该服务器暴露了客户的详细信息，例如用于创建Wyze帐户的客户电子邮件地址、为Wyze安全摄像头分配的昵称用户、WiFi网络SSID标识符以及24000位用户的AlexaToken，Wyze设备通过这些登录授权可以连接到Alexa设备。

Wyze高管否认Wyze API登录授权是通过服务器公开的。Twelve Security在其博客文章中声称，他们找到了API Token，他们说这些Token可以使黑客任意访问iOS或Android设备的Wyze帐户。

其次，宋还否认了Twelve Security的说法，即他们正在将用户数据发送回中国的阿里云服务器。

第三，宋还澄清了Twelve Security声称Wyze正在收集客户的健康信息。Wyze高管说，他们只收集了正在对新的智能秤产品进行Beta测试的140位用户的健康数据。

宋没有否认Wyze收集的身高、体重和性别详细信息。但是，他确实否认了其他的收集信息。

“我们从未收集过骨密度和每日蛋白质摄入量，我们还没有规模能做到那个层面。” Wyze高管说。

就目前而言，涉及该事件披露的三方在一些具体泄漏的细节方面似乎不一致。不论如何，Wyze都表示决定强制注销所有Wyze账户。与所有第三方应用程序集成不同，在用户重新登录并将Alexa设备重新连接到Wyze帐户这两个步骤之后，就可以生成新的Wyze API Token和Alexa Token。

*参考来源：ZDNet，Sandra1432编译，转载请注明来自FreeBuf.COM