不少人担忧的 IoT 装置资安问题,如今在美国放耶诞节的时候爆出一例,而且因为 IoT 属性缘故,出事之后造就的影响数量级也相当恐怖。美国 IoT 厂商 Wyze 出事,有总计 240 万用户受到影响,用户装置的 log 档暴露在外。
资安公司 Twelve Security 发文说 Wyze 的数据库暴露在外,供人任意连线。Wyze CEO Dongsheng Song 坦言内部的数据库不小心外漏出去。Wyze 说他们内部的 Elasticsearch cluster 出问题,导致他们生产的联网监示器、智慧插座、智慧门锁出问题,240 万户受到影响。
Twelve Security 和另一家资安公司 IPVM 都有向 Wyze 回报数据库外泄的问题,不过只给予 Wyze 14 分钟修正,Wyze 反应给太少时间反应了。
▲ IPVM 贴出泄漏的数据库的截图画面,证明 Wyze 的资料外泄。(Source:IPVM)
Twelve Security 的部落格文章声称 Wyze 收集个人的身高、体重、血压等健康资料,但 Wyze 否认相关指控。另外也否认 Twelve Security 指控 Wyze 将资料传到位于中国,阿里巴巴的云端服务器。
IPVM 确认 Twelve Security 提出的声明正确性,不过两方没释出多少外泄数据库的截图,只说资料都曝露到网络上,可以自行验证。
Wyze 说他们月初要应对服务成长,开始一项内部计划,打算要能够更好的掌握机器的基本数据,如启用率、连线失败率等。因此 Wyze 从工作数据库当中复制资料到比较好实验,有更多弹性的数据库,却忘了将原先工作数据库的保护回复,因而导致数据库暴露在外。
由于 Wyze 的主力产品为 25 美元一个,超低价钱的联网监视镜头,目标客户不大在意潜在的资安风险,一旦出现资安问题导致相当大的风波。未来 IoT 随着应用普及程度更多,只会造成一有资安事件,影响程度越来越大。
- IoT vendor Wyze confirms server leak
(首图来源:pxfuel, CC0)
