Voici un problème avec l’internet des choses : quand tout est connecté, tout devient plus vulnérable. Wyze, une entreprise qui vend des caméras de sécurité, des prises intelligentes et des ampoules à bas prix, avait une faille dans sa plateforme qui permettait un accès indu aux données de 2,4 millions d’utilisateurs.
La vulnérabilité a été découverte par Twelve Security Consulting, qui affirme n’avoir jamais “trouvé une faille de cette ampleur”. Le problème se situait au niveau des bases de données de production de l’entreprise, qui “étaient entièrement ouvertes à l’internet”. Cela a laissé exposées des données telles que les noms de réseaux Wi-Fi, les jetons d’accès Alexa, et même les mesures du corps des utilisateurs.
Cette découverte attire l’attention car les 2,4 millions d’utilisateurs concernés ne sont pas originaires de Chine, et il semblerait que les données soient envoyées dans le Cloud du géant chinois Alibaba. Qu’il s’agisse d’espionnage intentionnel ou de négligence grave, cela reste une action malveillante à laquelle il faut répondre sous la forme d’une enquête décisive, externe et rapide des autorités américaines”, déclare le cabinet de conseil.
Parmi les données divulguées figurent les noms d’utilisateurs, les e-mails, une liste de toutes les caméras associées au compte, les noms des réseaux Wi-Fi (SSID), la date et l’heure de connexion, les jetons d’accès aux applications mobiles (Android et iOS) et 24 000 jetons d’accès pour Alexa, pour ceux qui ont intégré les caméras de sécurité de Wyze dans la plateforme d’Amazon.
Selon Twelve Security, les informations sur la santé d’une partie des utilisateurs auraient également été visées par les fuites, notamment la taille, le poids, le sexe, la densité osseuse, la masse osseuse et l’apport quotidien en protéines.
Dans une note, Wyze a confirmé qu’une faille de sécurité entre le 4 et le 26 décembre 2019 a laissé les données des utilisateurs exposées. Selon l’entreprise, une erreur commise par un employé a entraîné la suppression des protocoles de sécurité d’une des bases de données, qui “ne contenait qu’une partie des données”.
La société affirme avoir déjà révoqué les jetons d’accès pour Alexa et les applications mobiles, ce qui obligera les utilisateurs à refaire les intégrations et les connexions ; et elle confronte certaines des conclusions de Twelve Security. Selon Wyze, les données ne sont pas envoyées au nuage d’Alibaba, et il n’y a pas de collecte de données sur la densité osseuse ou l’apport en protéines, même pour les bêta-testeurs.
