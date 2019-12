Le fabricant d'appareils électroménagers intelligents Wyze a répondu à ce qu'il appelle une violation de données "présumée" contre ses bases de données de production en déconnectant tous les utilisateurs de leurs comptes et a renforcé la sécurité de ses serveurs. Les clients ont subi un long processus de réauthentification alors que la société répondait à une série de rapports affirmant que la société stockait des informations sensibles sur les caméras de sécurité des personnes, les réseaux locaux et les adresses e-mail dans les bases de données exposées.

La société Twelve Security, basée au Texas, une société de conseil «boutique» autoproclamée, a publié hier la plainte pour violation des deux bases de données Elasticsearch de Wyze. Les données non sécurisées proviendraient de 2,4 millions d'utilisateurs. Plusieurs d'entre eux sont situés sur la côte est des États-Unis, bien que les données proviennent de l'ensemble du pays ainsi qu'au Royaume-Uni, aux Émirats arabes unis, en Égypte et dans certaines parties de la Malaisie.

L'ensemble de données comprenait toutes les adresses e-mail enregistrées ou partagées sur une caméra, les modèles, les versions de micrologiciel et les noms attribués de chaque caméra dans un foyer, l'heure de la dernière activation des appareils, l'heure de la dernière connexion et déconnexion des utilisateurs, jetons de connexion de compte pour les appareils Android et iOS des utilisateurs, jetons d'accès à la caméra pour les appareils Alexa des utilisateurs, SSID Wi-Fi et disposition de sous-réseau interne. Un sous-ensemble particulier d'utilisateurs qui ont donné ou ont fait le suivi de leur taille, de leur poids, de leur sexe, de leur santé osseuse et de leur apport en protéines peuvent également avoir vu ces données. Twelve Security a également noté qu'il y avait des "indications claires" que des données étaient acheminées via les serveurs d'Alibaba Cloud en Chine.

Le blog de nouvelles sur la vidéosurveillance IPVM a assuré le suivi de Twelve Security et a pu repérer les comptes et les appareils liés à son personnel qui a examiné les produits Wyze.

Twelve Security a choisi de ne pas informer Wyze avant de rendre public ses allégations soupçonnées de négligence grave de la société ou d'effort d'espionnage concentré, sur la base du prétendu lien Alibaba Cloud ainsi que d'une erreur de sécurité précédente où les utilisateurs d'Alexa pouvaient voir les flux de caméras à partir d'appareils. ils ont revendu à d'autres personnes – cette vulnérabilité a depuis été corrigée.

Dans un bulletin sur ses forums communautaires, Wyze a déclaré qu'il avait été informé par IPVM tard hier matin et n'avait pas réussi à vérifier une violation. Il a également nié toute association avec Alibaba Cloud.

La société a déclaré qu'elle avait décidé par prudence d'ajuster les autorisations d'accès à ses bases de données et d'effacer tous les jetons de connexion actifs – cela a également effacé les intégrations Alexa, Google Assistant et IFTTT des utilisateurs. Les clients qui utilisaient l'authentification à deux facteurs se sont plaints peu de temps après l'actualisation du jeton que leurs tentatives de connexion avaient été refusées en raison de diverses erreurs. Wyze a mis à jour son bulletin tard hier soir pour signaler qu'il avait corrigé le processus de connexion 2FA.

Le Wyze de Seattle vend des prises intelligentes, des lumières, des caméras de sécurité et similaires à des prix bien inférieurs à ses concurrents. Il peut le faire en se tournant vers des fournisseurs de fonctionnalités logicielles avancées – Xnor.ai a récemment annulé son contrat avec Wyze pour fournir à ses caméras une détection de sujet – et en investissant un certain nombre de ressources, y compris la fabrication, en Chine. Bien que nous aimerions voir plus de détails arriver, Twelve et IPVM rapportant à ce point peuvent jeter un doute, à tout le moins, sur la façon dont Wyze gère ses ressources.