La société Wyze, spécialisée dans la production de dispositifs de sécurité connectés (caméras, des prises de courant, des ampoules ou encore serrures connectées) a confirmé la semaine passée avoir enregistré une fuite de données révélant des informations concernant 2,4 millions de clients. La fuite s’est produite après qu’une base de données interne ait été accidentellement exposée en ligne, a déclaré Dongsheng Song, co-fondateur de Wyze, dans un message publié sur un forum à Noël.
Le dirigeant a indiqué que la base de données exposée – un système de recherche élastique – n’était pas un système de production bien que les données utilisateurs stockées sur le serveur s’avèrent être valides. Le serveur Elasticsearch, une technologie permettant d’effectuer des recherches ultra-rapides, a été mis en place pour aider la société à trier la vaste quantité de données utilisateur. “Pour aider à gérer la croissance extrêmement rapide de Wyze, nous avons récemment lancé un nouveau projet interne afin de trouver de meilleurs moyens de mesurer les indicateurs de base de l’entreprise”, a fait savoir la direction de l’entreprise.
publicité
Avant de donner plus de détails sur les contours de ce nouveau dispositif et de l’incident survenu début décembre. “Nous avons copié certaines données de nos principaux serveurs de production et les avons intégrées dans une base de données plus flexible et plus facile à interroger. Cette nouvelle table de données a été protégée lors de sa création initiale. Cependant, une erreur a été commise par un employé de Wyze le 4 décembre dernier alors qu’il utilisait cette base de données et les anciens protocoles de sécurité pour ces données ont été supprimés. Nous étudions toujours cet événement pour comprendre pourquoi et comment cela s’est produit”.
Une fuite rapidement rendue publique
Le serveur sur lequel la fuite s’est produite a été découvert par la société de conseil en cybersécurité Twelve Security et vérifié de manière indépendante par les journalistes d’IPVM, un blog dédié aux produits de vidéosurveillance. Dongsheng Song a toutefois fait part de son mécontentement quant à la façon dont les deux parties, Twelve Security et IPVM, ont géré la divulgation de la fuite de données, ne laissant à Wyze que 14 minutes pour réparer la fuite avant de rendre leurs conclusions publiques.
“Nous avons été contactés pour la première fois par le biais d’un ticket de support à 9h21 le 26 décembre par un journaliste d’IPVM.com. L’article a été publié presque immédiatement après (publié sur Twitter à 9h35). Il a été publié en même temps qu’un billet de blog d’une société de sécurité privée également publié le 26 décembre. Nous avons été mis au courant de cet article à environ 10h00 du matin par un membre de la communauté qui avait lu l’article”, a regretté ce dernier.
Le dirigeant a confirmé que la fuite a rendu publique des informations clients tels que les adresses e-mail utilisées par les clients pour créer des comptes Wyze, les surnoms des utilisateurs affectés à leurs caméras de sécurité Wyze, les identifiants SSID du réseau WiFi et, pour 24 000 utilisateurs, les jetons Alexa pour connecter les périphériques Wyze aux périphériques Alexa.
Des API concernées ?
La direction de Wyze a toutefois nié que les jetons API Wyze aient été exposés via le serveur. Dans son blog, Twelve Security a pourtant affirmé avoir trouvé des jetons API qui auraient permis aux pirates d’accéder aux comptes Wyze depuis n’importe quel appareil iOS ou Android.
La direction de Wyze a également démenti les affirmations de Twelve Security selon lesquelles ils renvoyaient les données des utilisateurs vers un serveur Alibaba Cloud en Chine. Enfin, celle-ci a également déclaré ne pas collecter de données sur la santé, si ce n’est pour les 140 utilisateurs effectuant des tests d’expérimentation concernant un nouveau produit de balance intelligente. “Nous n’avons jamais recueilli de données sur la densité osseuse et l’apport quotidien en protéines”, a déclaré le directeur de Wyze.
Pour l’instant, les trois parties impliquées dans la divulgation de cette fuite semblent être en désaccord quant aux détails de cette fuite en particulier. Quoi qu’il en soit, Wyze a déclaré avoir décidé de déconnecter de force tous les utilisateurs de Wyze de leurs comptes et n’a pas apprécié toutes les intégrations d’applications tierces, deux étapes qui généreront de nouveaux jetons API Wyze et des jetons Alexa une fois que les utilisateurs se reconnecteront et relieront à nouveau les périphériques Alexa aux comptes Wyze.
Source : ZDNet.com
Comments