Coup dur pour Wyze. Cette start-up créée en 2017 par quatre anciens ingénieurs d'Amazon à Seattle et spécialisée dans les caméras IP bon marché fait face à une alerte de sécurité majeure. Révélée par Twelve Security et détaillée par IPVM, cet incident a permis d'exposer les données et informations personnelles de 2,4 millions d'utilisateurs, comprenant des noms, des e-mails, des listes de caméras installées dans les domiciles des clients comprenant leurs numéros de modèles et firmware ainsi que des numéros WiFi SSID. Si Twelve Security a évoqué également le leak d'API Tokens pour accéder à des comptes utilisateurs depuis un terminal iOS ou Android ainsi que les Alexa Tokens de 24 000 utilisateurs qui ont connecté leurs terminaux Alexa avec leur caméra Wyze, le fabricant s'est montré plus prudent.
« Il n'y a aucune preuve que les jetons d'API pour iOS et Android ont été exposés, mais nous avons décidé de les actualiser alors que nous commencions notre enquête par mesure de précaution. Hier soir, nous avons forcé tous les utilisateurs de Wyze à se reconnecter à leur compte Wyze pour générer de nouveaux jetons. Nous avons également dissocié toutes les intégrations tierces, ce qui a amené les utilisateurs à relier les intégrations avec Alexa », a indiqué le 27 décembre la start-up dans un billet de blog mis à jour. Wyze a par ailleurs indiqué le 29 décembre, après audit de tous ses serveurs et bases de données, qu'aucun mots de passe ou données financières n'ont été touchées.
Une erreur humaine à l'origine de l'incident
Un manque de sécurisation d'une base de données Elasticsearch a été mise en avant par Twelve Security. De son côté IPVM indique avoir « trouvé au moins 40 millions d'enregistrements dans le leak » avec un durée totale d'exposition de plus de trois semaines. « Nous confirmons que certaines données utilisateur Wyze n'ont pas été correctement sécurisées et ont été exposées du 4 au 26 décembre », a indiqué le fabricant qui a fournit des détails sur l'origine de cet incident.
« Pour aider à gérer la croissance extrêmement rapide de Wyze, nous avons récemment lancé un nouveau projet interne pour trouver de meilleures façons de mesurer les indicateurs business de base tels que les activations d'appareils, les taux d'erreurs de connexion... Nous avons copié certaines données de nos principaux serveurs de production et les avons placées dans une base de données plus flexible et plus facile à interroger. Cette nouvelle table de données a été protégée lors de sa création d'origine. Cependant, une erreur a été commise par un employé de Wyze le 4 décembre lorsqu'il utilisait cette base de données et les protocoles de sécurité précédents pour ces données ont été supprimés. Nous examinons toujours cet événement pour comprendre pourquoi et comment cela s'est produit »