Une fuite de serveur Wyze expose les données des clients de 2,4 millions d'utilisateurs

Un serveur non sécurisé a exposé les données des clients Wyze sur une période de trois semaines, a reconnu le fabricant de caméras de sécurité intelligentes. La fuite a été découverte pour la première fois par la firme de cybersécurité Twelve Security, qui a publié ses conclusions le 26 décembre, tandis que IPVM, un blog consacré aux produits de vidéosurveillance, a pu vérifier que ses propres données avaient été affectées par la fuite. Selon Twelve Security, les données d'environ 2,4 millions de clients Wyze ont été compromises.

Dans un message sur le forum annonçant la fuite à ses utilisateurs, le cofondateur de Wyze, Dongsheng Song, a écrit que le serveur exposé n'était pas un serveur de production, mais plutôt une "base de données flexible" qui avait été créée pour permettre aux données des clients d'être interrogées plus rapidement. Le co-fondateur a déclaré qu'une erreur des employés avait entraîné la suppression des protocoles de sécurité du serveur le 4 décembre et que les données avaient été révélées jusqu'au 26 décembre, date à laquelle l'entreprise avait été informée du problème.

Dans son article de blog sur la fuite, Twelve Security a déclaré que le serveur contenait des informations telles que les noms d'utilisateur, les adresses e-mail, les surnoms d'appareil photo, les modèles d'appareils, les informations sur le micrologiciel, les détails du SSID Wi-Fi, les jetons d'API pour iOS et Android et les jetons Alexa d'utilisateurs qui avait connecté l'assistant vocal d'Amazon à leurs caméras de sécurité. (Wyze dit que la base de données n'incluait pas les mots de passe des utilisateurs.) La firme de cybersécurité a également affirmé que la base de données comprenait un large éventail d'informations sur la santé, notamment la taille, le poids, la densité osseuse et l'apport quotidien en protéines. Song a confirmé que certaines informations sur la santé étaient présentes grâce à un test bêta d'un nouveau produit à l'échelle intelligente, mais a contesté qu'il n'ait jamais collecté d'informations sur la densité osseuse et l'apport quotidien en protéines.

Twelve Security a même affirmé qu'il y avait des «indications claires» que les données étaient envoyées au nuage d'Alibaba en Chine. Le post du forum de Song le conteste. Il a déclaré que Wyze n'utilisait pas Alibaba Cloud et que, bien qu'il ait des employés et des partenaires de fabrication en Chine, il ne partage les données des utilisateurs avec aucune agence gouvernementale.

En réponse à la défaillance de la sécurité, Song dit que Wyze a commencé à effectuer un audit de tous ses serveurs et bases de données et a découvert une autre base de données non protégée. Il a également déclaré que la société revisitait «tous les aspects» de ses directives de sécurité. Entre-temps, le co-fondateur a déclaré que les utilisateurs de Wyze devraient se méfier des attaques de phishing et que la société avait déconnecté tous ses utilisateurs de leurs comptes et dissocié leurs intégrations tierces pour tenter de combler la faille de sécurité causée par l'API compromise. et les jetons Alexa.

La fuite de données survient à la fin d'une année difficile pour Wyze. La société a annoncé une nouvelle fonctionnalité de détection des personnes basée sur l'IA en juillet pour ses caméras de sécurité abordables, seulement pour que le démarrage de l'IA avec lequel elle s'est associée sur la fonctionnalité abandonne en novembre, jetant un doute sur l'avenir de la fonctionnalité. Le lancement de son service d'abonnement devait également être retardé le même mois en raison de «problèmes critiques» non spécifiés.

Song tenait à souligner que les prix budgétaires de l'entreprise ne signifient pas qu'il prend la sécurité moins au sérieux. «Nous avons souvent entendu des gens dire:« Vous payez pour ce que vous obtenez », en supposant que les produits Wyze sont moins sûrs car moins chers. Ce n'est pas vrai », a écrit le co-fondateur. "Nous avons toujours pris la sécurité très au sérieux, et nous sommes désolés de laisser tomber nos utilisateurs comme ça."

Traduit de la source : https://www.theverge.com/2019/12/30/21042974/wyze-server-breach-cybersecurity-smart-home-security-camera

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.