Wyze : les données de 2,4 millions d’utilisateurs en libre accès
À vouloir apporter plus de sécurité à son foyer, on ajoute aussi des paramètres d'intrusion possibles. Des semaines durant, les bases de données des clients de la solution de surveillance connectée Wyze étaient accessibles sur Internet.
Si elle ne fait pas aussi fréquemment les gros titres que la solution de surveillance connectée Amazon Ring, Wyze, qui passe exclusivement par la plateforme de Jeff Bezos pour vendre ses produits, a aussi ses abonnés. Plusieurs millions même. La semaine passée, la firme de sécurité 12security exposait s’expliquait sur les raisons de la fuite, en pointant directement du doigt ses équipes. Si aucun mot de passe n’a été divulgué, ceux-ci n’étant pas sauvés en ligne, les adresses e-mail, les identifiants de réseau Wi-Fi et même des mesures corporelles pour un sous-ensemble d’utilisateurs n’étaient pas protégés entre le 4 et le 26 décembre.
Des informations très précises
Selon Twelve Security, plus de 2,4 millions de clients de Wyze ont été affectés par la fuite. La faute est imputable à un employé de l’entreprise selon son co-fondateur, qui n’a pas su répliquer correctement les protocoles de sécurité de la base de données lorsqu’elle a été dupliquée sur un autre serveur pour faciliter la recherche. Les données comprenaient non seulement les adresses e-mail des utilisateurs, mais également celles de n’importe quel utilisateur avec lequel il a partagé l’accès à la caméra, par exemple un membre de la famille. La liste de toutes les caméras d’un foyer, ainsi que les surnoms pour chaque caméra, modèle de périphérique et microprogramme étaient précisés, tout comme le SSID du réseau Wi-Fi.
Les utilisateurs déconnectés par sécurité
Pour une sous-catégorie de 140 utilisateurs testant un produit en bêta, leur taille, poids, sexe, densité osseuse, masse osseuse, apport quotidien de protéines et autres renseignements sur la santé étaient disponibles. Par sécurité, la société a déconnecté tous les utilisateurs pour générer de nouveaux jetons de connexions, bien que ceux-ci n’ai a priori pas été compromis.