Wyze, fabricant d’appareils intelligents pour la maison tels que des appareils photo, des serrures et des ampoules, a confirmé plusieurs violations de données qui ont laissé des données personnelles liées à des millions de ses clients exposées en ligne.
La première fuite a été repérée par la firme de cybersécurité Twelve Security et signalée le 26 décembre, tandis que la seconde a été signalée peu de temps après par un membre de la communauté Wyze. Twelve Security a suggéré que les données appartenaient à 2,4 millions de clients Wyze.
Les données, qui sont restées exposées du 4 au 26 décembre 2019, comprenaient des e-mails, des surnoms de caméra, des identifiants de réseau Wi-Fi, des informations sur les appareils Wyze, ainsi que des mesures corporelles pour 140 personnes qui testaient un nouveau matériel Wyze.
La startup basée à Seattle a déclaré qu’aucune information financière ni aucun mot de passe n’étaient conservés dans les bases de données exposées.
Qu’est-il arrivé?
Confirmant l’incident dans les messages postés sur un forum Wyze, le cofondateur de l’entreprise, Dongsheng Song, a déclaré que cela résultait d’un effort pour «trouver de meilleures façons de mesurer les mesures commerciales de base comme les activations des appareils, les taux de connexion défaillants, etc.», a déclaré M. Song, que son équipe avait transféré les données de ses principaux serveurs de production vers une base de données plus flexible et plus facile à interroger.
« Ce nouveau tableau de données était protégé lors de sa création », a expliqué Song. « Cependant, une erreur a été commise par un employé de Wyze le 4 décembre alors qu’il utilisait cette base de données et les protocoles de sécurité précédents pour ces données ont été supprimés. »
Il a ajouté que la société, lancée il y a deux ans, fournira une explication plus détaillée une fois son enquête terminée. Song a également fortement démenti les affirmations de Twelve Security selon lesquelles les données Wyze «sont renvoyées au cloud d’Alibaba en Chine». en Chine ou dans tout autre pays. «
Dans une section FAQ sur la violation de données, Song a déclaré aux utilisateurs que si les adresses e-mail tombaient entre de mauvaises mains, les clients devraient être conscients des tentatives de phishing où les criminels tentent de vous inciter à renoncer aux informations de connexion pour les services en ligne.
Wyze: « Nous sommes dévastés »
S’excusant auprès des clients, le cofondateur de Wyze a déclaré: «Nous avons toujours pris la sécurité très au sérieux, et nous sommes ravis de laisser tomber nos utilisateurs comme ça. C’est un signal clair que nous devons revoir totalement toutes les directives de sécurité de Wyze dans tous les aspects, mieux communiquer ces protocoles aux employés de Wyze et augmenter la priorité des fonctionnalités de sécurité demandées par l’utilisateur au-delà de l’authentification à 2 facteurs. »
Les faux pas de Wyze clôturent une année sinistre pour les violations de données. Au printemps, des données liées à 80 millions de foyers ont été divulguées en ligne et, en octobre, plus de 7 millions de clients Adobe ont vu leurs informations personnelles dévoilées. Facebook, quant à lui, a vu des données appartenant à 540 millions de ses utilisateurs exposées par des applications tierces, et plus tôt ce mois-ci, des informations liées à 267 millions d’utilisateurs de Facebook ont été trouvées sur un forum de pirates informatiques. Parmi les autres infractions graves, citons la société de services financiers Capital One et le site photo 500px, entre autres.
Nous aimerions penser que 2020 verra les entreprises prendre bien mieux soin de nos informations personnelles en ligne, mais nous ne retenons pas notre souffle.