La compagnie Wyze a été victime d’une brèche de données

Une base de donnée Elasticsearch appartenant à la compagnie Wyze était exposé et a donc fait fuiter des informations sur des appareils connectés et les emails de millions de clients.

Wyze fabrique des caméras intelligentes et des appareils connectés (ampoules, prises etc…) qui peuvent être intégré avec des assistants intelligents comme Alexa et l’assistant Google.

wyze

La base de données était exposé du 4 Décembre jusqu’au 26 Décembre 2019. Elle contenait des emails de client ainsi que des noms de caméras ou encore des SSID WiFi (Service Set Identifiers; noms des réseaux Wi-Fi), des informations d’appareils et des données métriques “pour un petit nombre de testeurs beta” qui testaient le nouveau matériel, selon Wyze.

Près de 2,4 millions d’usagers seraient concernés. Wyze n’a pas confirmé ce nombre et s’est contenté de dire que “certaines données d’usagers” étaient impactées.

“Pour aider à gérer la croissance rapide de Wyze, nous avons récemment mis en place un nouveau projet interne pour trouver de meilleurs moyens de mesurer les métriques de business tels que les activations d’appareils, les taux de connexions échouées, etc…,” a déclaré la compagnie dans un communiqué.

“Nous avons copié quelques données depuis nos serveurs de production principales et les avons mis dans une base de données flexibles à laquelle il est facile d’envoyer des requêtes. Cette nouvelle table de donnée était protégé quand nous l’avons créé. Cependant, une erreur a été faite par un employé le 4 Décembre et les protocoles de sécurité mis en place ont été supprimé. Notre enquête interne est encore en cours pour découvrir exactement pourquoi et comment cela s’est produit.”

Dans cette même base de données, on pouvait trouvé les tokens Alexa de 24 000 utilisateurs, ces derniers permettent aux utilisateurs d’associer leurs appareils Alexa avec leurs caméras Wyze. La compagnie a affirmé qu’il n’y a aucune preuve que les tokens API d’iOS et Android ont été exposé, mais la compagnie a décidé de les rafraîchir par mesure de sécurité.

“Nous avons forcé tout les usagers de Wyze à se reconnecter à leur compte Wyze pour générer de nouveaux tokens,” a dit Wyze. “Nous avons aussi dissocié toutes les intégrations de parti tiers qui forçaient les utilisateurs à se ré-associer avec Alexa, l’assistant Google et IFTTT pour ré-obtenir les fonctionnalités de ces services. En tant qu’action supplémentaire, nous avons décidé d’améliorer la sécurité des caméras, cela forcera votre caméra à redémarrer dans les prochains jours.”

La base de données ne contenait pas de mots de passe d’utilisateurs ou de données personnelles ou financières régulées par le gouvernement, selon Wyze.

Cependant plusieurs experts en sécurité dont fait partie Troy Hunt, le créateur du site HaveIBeenPwned.com, pensent que cette fuite de données est très sérieuse.

Wyze a été notifié par un ticket de support

Wyze affirme que la fuite de donnée leur a été signalé par un ticket de support le 26 Décembre par un journaliste de IPVM.com, un site d’actualités qui “fournit des critiques, des tests et des logiciels pour choisir et utiliser des produits de surveillance vidéo.”

IPVM a posté un article détaillant les données exposées juste après avoir informé Wyze de la fuite. L’article était basé sur un autre article posté par la firme Twelve Security qui a aussi était posté le 26 Décembre et qui détaillait la fuite.

Wyze a tenu à préciser que certaines déclarations dans plusieurs articles postés sur eux ne sont pas vraies. comme le fait qu’ils enverraient des données à Alibaba Cloud, qu’ils récupèrent des informations à propos de la densité osseuse et l’apport de protéine quotidien ou encore que la compagnie a été la victime d’une brèche similaire il y’a 6 mois.

La compagnie a informé qu’elle enverra des emails de notifications à tout les clients affectés et donnera plus de détails quand l’enquête interne sera terminé.

“Une fois encore, nous sommes désolé de cette situation,” a dit Wyze. “Merci de votre patience pendant que nous faisons le nécessaire. Nous lisons tout vos commentaires et continuons de travailler ensemble pour améliorer notre sécurité et s’assurer que des événements similaires ne se produisent plus jamais.”

Si cet article vous a plus, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de