Recevez chaque jour toute l'actualité du numérique

x

Les données de 2,4 millions d'utilisateurs de Wyze ont fuité

Le fabricant Wyze, spécialisé dans les produits de sécurité connectés, a confirmé que les données de quelque 2,4 millions d’utilisateurs de ses services ont fuité ces dernières semaines. En libre accès pendant 22 jours, ces dernières comprenaient noms d'utilisateurs, adresses e-mail ou encore numéros WiFi SSID. La start-up dit vouloir revoir ses protocoles.
Twitter Facebook Linkedin Flipboard Email
×

Les données de 2,4 millions d'utilisateurs de Wyze ont fuité
Les données de 2,4 millions d'utilisateurs de Wyze ont fuité © Wyze

Spécialiste des produits de sécurité connecté, Wyze a récemment connu… une faille de sécurité. Ces dernières semaines, les données de 2,4 millions de membres de sa communauté ont fuité. La start-up a confirmé les rumeurs qui courraient jeudi 26 décembre 2019 à travers une note de blog, dans laquelle elle indique avoir mis 22 jours à détecter puis corriger l’anomalie. Noms d’utilisateurs, adresses e-mail, numéros WiFi SSID… Ce sont près de 40 millions d’enregistrements qui auraient ainsi été subtilisés dans ce laps de temps.

 

UNE ERREUR HUMAINE à L’ORIGINE DE L’INCIDENT

Fondée en 2017 par quatre anciens ingénieurs d’Amazon, l’entreprise propose une technologie de tri des données utilisateurs baptisée ElasticSearch. C’est par le biais de ce serveur que les pirates ont pu avoir accès à une telle base de données. "C’est pour nous aider à gérer la croissance extrêmement rapide de Wyze que nous avons lancé ce nouveau projet interne, dans le but de trouver de meilleurs moyens de mesurer nos indicateurs de base", s’est justifiée sa direction.

 

Concrètement, ElasticSearch copiait les données clients issues des principaux serveurs de production pour les intégrer à "une base plus flexible et facile à interroger". Une procédure "protégée dès sa création", a précisé la société, qui convient qu’une "erreur humaine a été commise".

 

D’après elle, le 4 décembre, un de ses employés a malencontreusement supprimé lesdits protocoles de sécurité lorsqu’il manipulait la base de données. "Nous étudions toujours cet événement pour comprendre pourquoi et comment cela a pu se produire", a-t-elle poursuivi. Ce n’est, en effet, pas elle, mais bien le cabinet de conseil en cybersécurité Twelve Security qui a découvert la fuite.

 

L’ENQUÊTE Devra être POUSSéE PLUS LOIN

Selon la direction de Wyze, aucun jeton API n’aurait été exposé lors de l’attaque… contrairement aux affirmations de Twelve Security, qui assure en avoir trouvé lors de ses recherches. Or c’est une donnée importante à prendre en considération : si cela se confirmait, cela pourrait signifier que les pirates ont eu accès aux comptes utilisateurs reliés à des appareils tournant sous Android ou iOS.

 

La société a aussi réfuté le fait que les données volées ont transité vers des serveurs d’Alibaba Cloud situés en Chine et que des données de santé sont concernées. Mise face à ses contradictions, Wyze a décidé de forcer la déconnexion de tous les comptes utilisateurs. La société s’est engagée à "revoir sa politique en matière de sécurité" pour encourager l’authentification forte. Un minimum pour convaincre.

 

Alors que le nombre d’objets connectés en circulation explose, les inquiétudes quant à leur sécurité se font toujours plus nombreuses. Le FBI a récemment livré ses conseils aux utilisateurs pour se prémunir des attaques, tandis que les chercheurs élaborent des outils pour lutter efficacement contre ce fléau.

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media