报告称大规模Wyze数据展示但仍有许多问题

预算智能家居公司 Wyze 是一份新安全报告的主题，该报告声称在所谓的巨大安全漏洞中大量用户数据丢失。Wyze 承认了该报道，但表示尚无法确认这些说法是否属实。该公司今天早些时候才从第二方获悉该报告，该方在其自己的网站上声称它通过审查“记录”证实了泄密事件。

最初的安全漏洞声明是由“十二安全”发布的，该网站自称是一家“精品咨询公司”。该报告称，Wyze 的生产数据库“完全开放”供任何人访问，暴露了 240 万用户的数据。该报告称，暴露的数据包括电子邮件地址、带有昵称的摄像头列表、WiFi SSID、API 令牌、Alexa 令牌等。

奇怪的是，该报告还声称泄露的数据库包括一些用户的各种“健康信息”，包括身高、体重、骨量等。这篇博文的作者在向公众发布此信息之前显然没有联系 Wyze，并在帖子中表示“该数据库目前处于活动状态并处于开放状态”。任何人都可以访问它。

该报告不包括这些所谓的泄密事件的任何屏幕截图，也不包含有关它们是如何被发现的任何细节，因此几乎没有什么可做的。然而，在十二安全发布报告后不久，另一家名为 IPVM 的安全公司发布了自己的博客文章，声称它在与十二安全交谈并查看记录后证实了违规行为。

IPVM 帖子确实包含显示 Wyze 日志事件和选择其他数据的单个屏幕截图。十二安全暗示这可能是一种行为，声称暴露的用户位于以外的国家/地区。除此之外，十二安全声称“有明确的迹象表明数据正在被发送回的阿里云”。

在今晚在其论坛上的一篇帖子中，Wyze 表示它只是在太平洋时间上午 10 点/东部时间下午 1 点才得知该报告，此时它“动员了适当的开发人员和高管”。该公司无法核实违规行为，但表示它“为我们的系统数据库增加了另一层保护”。所有用户都已注销其帐户并被迫重新登录。

Wyze 表示，由于这些预防措施，其用户将需要重新链接他们与 IFTTT、Alexa 和 Google Assistant 的任何集成。该公司还在其双因素身份验证服务器上遇到了大量负载，这意味着某些用户可能会在一段时间内无法登录。

该公司进一步表示，它曾试图联系十二安全，但它可用的号码表明它不接受来电;一封电子邮件也已发送给 Twelve Security，但 Wyze 表示尚未收到回复。同样，该公司指出它没有使用阿里云，声称这一指控是“错误的”。