原标题：240万Wyze摄像头用户数据泄露，只因员工的一个误操作

智东西（公众号：zhidxcom）

编 | 云鹏

智东西12月31日消息，根据Twelve Security网络安全公司调查显示，智能安全摄像头制造商Wyze目前已泄露了约240万用户的数据，包括用户名、摄像头设备型号、Wi-Fi SSID、iOS和Android的API令牌、连接亚马逊语音助手和摄像头的Alexa令牌、用户健康数据等。

据Wyze联合创始人Dongsheng Song表示，一个员工的错误操作导致服务器的安全协议被删除，从而导致了数据的泄露。目前公司已经对所有数据服务器进行了排查，注销了所有用户信息并解除了所有三方应用绑定。Wyze成立于2017年，靠着极具性价比的家用安全摄像头，用一年时间占据了亚马逊网站上该品类的销售冠军。

一、泄露22天后才被发现

智能安全摄像头制造商Wyze的服务器于本周三泄露了大约240万用户的数据。网络安全公司Twelve Security首先发现了这一漏洞，并于周四公布了调查结果。专注于视频监控产品的IPVM公司也已证实自己的数据受到了此次泄露的影响。

Wyze联合创始人Dongsheng Song表示，此次泄露信息的服务器不是生产服务器，而是一个“可变动数据库（flexible database）”，是为了让客户更快捷地查询数据而创建的。Song说，一个员工的错误操作导致服务器的安全协议在12月4日被删除，直到12月26日公司才意识到这个问题。

二、涉及众多三方应用和设备

Twelve Security表示，该服务器泄露的信息包括用户名、电子邮件地址、摄像头昵称、设备型号、固件信息、Wi-Fi SSID详细信息、iOS和Android的API令牌，以及连接亚马逊语音助手和安全摄像头的用户的Alexa令牌等信息。

Wyze称泄露的数据库中并没有用户密码。Twelve Security还声称数据库中包含了大量的用户健康信息，包括身高、体重、骨密度和每日蛋白质摄入量。Song说，这是因为目前公司在对一种新的智能秤进行测试，所以会有一些用户健康信息。

Twelve Security甚至声称，有“明显迹象”显示，这些数据正在中国被发送到阿里巴巴云。Song对此并不认同。他说尽管Wyze在中国有员工和制造合作伙伴，但他们并不使用阿里巴巴的云服务，并且不与任何政府机构共享用户数据。

三、注销所有用户，彻查全部服务器

Song说，针对这一安全漏洞，Wyze已经开始对其所有服务器和数据库进行审查，并发现了另一个存在安全隐患的数据库。他还说，公司当前正在对其安全准则进行彻底检查。同时他也表示，Wyze用户应谨防网络钓鱼攻击。目前该公司已将所有用户从其帐户中注销，并解除了第三方应用绑定，试图弥补因API和Alexa令牌泄露而造成的安全漏洞。

今年Wyze的日子很艰难。早在7月份，该公司曾为其具有一定性价比的安全摄像头推出了一项AI技术驱动的运动物体检测功能，结果在11月，提供这一技术的AI初创公司就退出了该项目，也让这一功能的未来变得充满不确定性。

Song强调到，尽管公司的产品定价不高，但这并不意味着他们不重视安全问题。“我们经常听到有人说，‘一分价钱一分货’，Wyze的产品因为便宜所以就不安全，但事实并非如此。”Song补充到，“我们一直非常重视安全性，我们对此次以这种方式让用户失望也感到非常震惊。”