按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

IoT 設備業者 Wyze 外洩近 240 萬用戶個資

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-05-20
  • 點閱次數:1257
IoT 設備業者 Wyze 外洩近 240 萬用戶個資 TWCERT/CC

IoT 廠商 Wyze 一個存有 240 萬名用戶個資的資料庫,被發現未經任何保護,在網路上曝光,嚴重影響用戶隱私。
 

一家名為 Wyze 的 IoT 設備製造廠商,上個月 4 日遭資安專家發現,有一個內含 240 萬名用戶個資的 Elastic 資料庫放在網路上,未經任何保護,可供任何人存取。

該資料庫的資料欄位,包括用戶名稱、Email 地址、設備共享成員的 Email 地址、設備暱稱、設備型號、韌體版本、無線網路 SSID、內部網路路由結構、攝影機上次上線時間、上次 App 登入與登出時間等。

在這 240 萬筆資料中,有近 1% 的資料還含有用戶透過該公司裝置連上 Alexa 語音助理的 token;另外也有一部分用戶的身高、體重、性別、骨質密度、骨質重量、每日蛋白質攝取量與其他個人健康相關資料。

Wyze 表示,該公司已在 12 月 26 日關閉該料庫;現在也正在調查事件的成因與影響;目前所知是該公司為了方便作業,自原始資料庫中複製了這批資料到更容易進行查詢操作的 Elastic 資料庫中,但由於作業錯誤,於 12 月 4 日誤將資料庫的所有保護機制予以移除。

Wyze 也說,目前並未發現用戶透過 iOS 或 Android 裝置連線到 Wyze 設備的 token 有外洩的情形;不過為了確保安全,Wyze 將於近期重置所有第三方連線用的 token,用戶需重新連結第三方服務並產生新的 token 才能繼續使用。

Wyze 指出這次外洩事件並未洩露用戶的財務相關資訊或密碼;但資安專家 Troy Hunt 認為這是一起相當嚴重的資安事件。

 

回頁首