Fuite de données chez Wyze, 2,4 millions clients touchés
Le fabricant de caméra IP Wyze a été touché par une fuite de données personnelles.
Jusqu’au dernier jour de l’année 2019, les fuites n’ont cessée de faire parler d’eux. Cette fois-ci, la cause de la mise en ligne d’une base de données relative à 2,4 millions clients de la firme était dû à un défaut de configuration de ladite base de données elasticSearch. On parle ici d’au moins 40 millions d’enregistrements qui seraient composés d’informations personnelles telles que des noms et prénoms, des noms d’utilisateurs, des adresses e-mail, ainsi que des numéros Wi-Fi SSID. Toutes les informations ont été mises à nues pouvant être accessible par n’importe qui.
Cet article va aussi vous intéresser : Les fuites de données en 2019
« Nous confirmons que certaines données utilisateur Wyze n’ont pas été correctement sécurisées et ont été exposées du 4 au 26 décembre », a notifié la société de fabrication de caméras IP Wyze dans un billet de blog.
Sur tout point de vue, c’est un coup dur pour la jeune société qui a été créée seulement en 2017. Elle fut fondée par 4 ex ingénieurs qui travaillaient pour Amazon à Seattle. Ils sont spécialisés dans la fabrication de caméra IP à moindre coût pour faire face à plusieurs appel à l’aide de sécurité majeure. La fuite a été révélé par Twelve Security. Nous avons pu avoir plus de détails grâce à IPVM. D’ailleurs, il a été notifié que les 2,4 millions de personnes qui ont vu leur informations publiées ont du malheureusement faire face à certaines informations trop personnelles circulant sur le web. comment on l’a dit plus haut, il y avait notamment des informations d’identification, tels que les adresses email et des noms d’utilisateur, des informations nominatives telles que des noms et prénoms, des informations de géolocalisation telles que l’adresse physique ainsi que d’autres informations relatives au modèle de la caméra ainsi que des numéros des caméras de la firmware, et des numéros Wi-Fi SSID. Par ailleurs, Twelve Security a aussi mis en évidence la fuite des données d’API Tokens qui peuvent permettre à toute personne qui sait s’y faire d’accéder au caméra en utilisant un terminal iOS ou même Android, ainsi que les outils d’Alexa tokens détenus par pas moins de 24 000 utilisateurs qui auraient connecté leur appareil Alexa à une caméra Wyze.
Cependant on va noter que le fabricant de caméra s’est quand même montré très prudent. « Il n’y a aucune preuve que les jetons d’API pour iOS et Android ont été exposés, mais nous avons décidé de les actualiser alors que nous commencions notre enquête par mesure de précaution. Hier soir, nous avons forcé tous les utilisateurs de Wyze à se reconnecter à leur compte Wyze pour générer de nouveaux jetons. Nous avons également dissocié toutes les intégrations tierces, ce qui a amené les utilisateurs à relier les intégrations avec Alexa », a signalé le 27 décembre la firme dans un billet de blog mis à jour .
La société des fabricants de caméra informera à la suite d’un audit effectué sur tous ses serveurs et bases de données, qu’aucune données de nature financière ou encore des mots de passe ont été touché par la divulgation. Une manière de rassurer ses utilisateurs. Car d’un notre côté, l’accident est quand même dû à une erreur de manipulation qui a entraîné un manque de protection de la base de données elasticSearch. en tout cas c’est ce qui a été mis en avant par Twelve Security.
La durée de l’exposition des données selon IPVM serait de 3 semaines. « Nous confirmons que certaines données utilisateur Wyze n’ont pas été correctement sécurisées et ont été exposées du 4 au 26 décembre », a noté le fabricant qui a bien voulu fournir des détails sur l’origine de l’incident. « Pour aider à gérer la croissance extrêmement rapide de Wyze, nous avons récemment lancé un nouveau projet interne pour trouver de meilleures façons de mesurer les indicateurs business de base tels que les activations d’appareils, les taux d’erreurs de connexion… Nous avons copié certaines données de nos principaux serveurs de production et les avons placées dans une base de données plus flexible et plus facile à interroger. Cette nouvelle table de données a été protégée lors de sa création d’origine. Cependant, une erreur a été commise par un employé de Wyze le 4 décembre lorsqu’il utilisait cette base de données et les protocoles de sécurité précédents pour ces données ont été supprimés. Nous examinons toujours cet événement pour comprendre pourquoi et comment cela s’est produit »
Accédez maintenant à un nombre illimité de mot de passe :