Wyze, un fabricant américain d’objets connectés, tels que des webcams, des caméras de sécurité, des ampoules et des prises de courant connectées, a reconnu dimanche avoir exposé les données personnelles de près de 2,4 millions de clients pendant plus de trois semaines.
Une base de données Elasticsearch, conçue pour accélérer les requêtes sur des métriques de base d’affaires, telles que le nombre d’activations d’appareils ou les taux d’échecs de connexions, contenant une copie d’une partie des informations de sa base de données principale, n’a plus été protégée par erreur à partir du 4 décembre, a reconnu l’un des fondateurs de Wyze, Dongsheng Song.
Parmi les données en clair : les adresses de messagerie, les noms attribués aux caméras, les identificateurs SSID des réseaux Wi-Fi, et pour 24 000 utilisateurs, les jetons d’accès pour Alexa.
Les données de taille, de poids et de sexe de 140 testeurs d’une balance connectée ont aussi été divulguées.
Song remet toutefois en cause la manière dont la fuite a été divulguée.
Elle fut découverte par la firme Twelve Security, et vérifiée indépendamment par IPVM, un blogue spécialisé dans les outils de surveillance.
IPVM a ouvert un ticket de soutien technique le 26 décembre à 9 h 21, mais a publié un article sur la fuite seulement 14 minutes plus tard.
Un manquement flagrant et étonnant à l’éthique et aux usages de la profession : une vulnérabilité de sécurité est normalement communiquée en toute confidence à une entreprise, et un délai de plusieurs semaines à trois mois lui est conféré afin de développer, tester et distribuer des correctifs, avant de divulguer la vulnérabilité.
Song nie en revanche que des jetons de l’interface de programmation de Wyze aient été affectés, ou que des données soient envoyées sur les serveurs chinois d’Alibaba Cloud, deux affirmations de Twelve Security.
Wyze a immédiatement déconnecté tous les utilisateurs de leurs appareils connectés, ainsi que des applications tierces, afin que tous les jetons soient régénérés à la prochaine connexion.