Un rapport de sécurité publié vendredi dernier a indiqué que 2019 a été une « année record » en termes de violations de données. Alors que l’année est sur le point de se terminer, une autre entreprise a été victime d’une fuite massive de données. Wyze, une startup américaine de caméras de sécurité, a confirmé avoir subi une fuite de données durant plus d’une vingtaine de jour en décembre, qui aurait pu laisser les informations personnelles de millions de ses clients exposées sur Internet. Bien qu’aucune information financière ou aucun mot de passe n'a été exposé, Twelve Security, qui a été la première à signaler la fuite, a annoncé jeudi dernier que les adresses e-mail, les identifiants de réseau Wi-Fi et les données du corps de plus de 2,4 millions de clients ont été laissés sans protection du 4 au 26 décembre.
La fuite, découverte par la société de cybersécurité Twelve Security, a été ensuite confirmée par IPVM, un blog consacré aux produits de vidéosurveillance, après avoir vérifié que ses propres données avaient été affectées par la fuite. Dans son message de confirmation de la violation de données sur son forum, Dongsheng Song, cofondateur de Wyze, a écrit que le serveur non sécurisé n'était pas un serveur de production, mais plutôt une « base de données flexible » qui a été créée pour permettre une interrogation plus rapide des données des clients.
En effet, les données auraient été accidentellement laissées exposées lors de leur transfert vers une nouvelle base de données afin de faciliter leur consultation, mais un employé de l'entreprise n'a pas réussi à maintenir les protocoles de sécurité pendant le processus, a écrit M. Song à l’endroit de ses clients vendredi, après avoir dit le jeudi ne pas être sûr qu’une fuite avait lieu. « Nous étudions toujours cet événement pour comprendre pourquoi et comment cela s'est produit », a-t-il écrit.
« La vulnérabilité a débuté le 4 décembre et n'a concerné aucune de nos tables de données de production. Bien qu'elle soit importante, cette base de données ne contenait qu'un sous-ensemble de données. Elle ne contenait pas de mots de passe d'utilisateur ni de renseignements personnels ou financiers réglementés par le gouvernement. Elle contenait des e-mails de clients, des surnoms de caméras, des SSID WiFi, des informations sur les périphériques Wyze, des mesures de corps pour un petit nombre de bêta-testeurs de produits et des jetons limités associés aux intégrations Alexa », ajouté le cofondateur.
Twelve Security a également affirmé que la base de données comprenait un grand nombre d'informations sur la santé, notamment la taille, le poids, la densité osseuse et l'apport quotidien en protéines. M. Song n’a pas contesté cette information et a confirmé que ces renseignements sur la santé étaient contenus dans la base de données laissée sans sécurité grâce à un test bêta d'un nouveau produit de balance intelligente. Cependant, Wyze a soutenu n’avoir jamais recueilli des renseignements sur la densité osseuse et l'apport quotidien en protéines.
Dans sa mise à jour du vendredi, Wyze a déclaré qu'il n'y avait aucune preuve que les jetons de connexion avaient été exposés, mais dit avoir forcé tous les utilisateurs à se reconnecter afin de générer de nouveaux jetons. « Nous avons également dissocié toutes les intégrations tierces, ce qui a amené les utilisateurs à relancer les intégrations avec Alexa, Google Assistant et IFTTT pour retrouver la fonctionnalité de ces services. En outre, nous prenons des mesures pour améliorer la sécurité des caméras, ce qui entraînera un redémarrage de votre caméra dans les jours à venir », a ajouté la société afin de rassurer ses clients.
Les données de la base de données non sécurisée étaient envoyées au cloud d'Alibaba en Chine, d’après Twelve Security
La confidentialité des informations sensibles continue d'être un défi pour les gestionnaires de bases de données. Selon un rapport publié vendredi dernier, cette année a été marquée par des violations de données, au moins une entreprise ayant demandé à ses clients de changer les mots de passe pratiquement tous les mois. Le rapport de sécurité a indiqué que le nombre total de violations a augmenté de 33 % en 2019 par rapport à l'année dernière, d’après les recherches de Risk Based Security, les services médicaux, les détaillants et les entités publiques étant les plus touchés. 5183 violations de données pour un total de 7,9 milliards d'enregistrements exposés ont été enregistrées. En novembre, le spécialiste de sécurité a qualifié cette année de « pire année jamais enregistrée » pour les infractions.
Twelve Security a affirmé dans son message qu'il y avait des « indications claires » que les données exposées par la base de données non sécurisée étaient envoyées au cloud d'Alibaba en Chine. Mais le post du forum de M. Song a contesté cette affirmation. Il a déclaré que Wyze n'utilise pas le nuage d'Alibaba, et que bien que la société ait des employés et des partenaires de fabrication en Chine, elle ne partage pas les données des utilisateurs avec des organismes gouvernementaux.
Dans sa réaction à la faille de sécurité, M. Song a déclaré, dans sa mise à jour de dimanche, que Wyze avait découvert une deuxième base de données non protégée au cours de son enquête sur la fuite de données. Wyze ne s’est pas prononcé sur la nature des informations stockées dans cette base de données, mais M. Song a dit que les mots de passe et les données financières personnelles n'étaient pas inclus. Il a ajouté que l'entreprise est en train de revoir « tous les aspects » de ses directives de sécurité, et que pendant ce temps les utilisateurs des caméras Wyze devraient se méfier des attaques de phishing.
« C'est un signal clair que nous devons revoir complètement toutes les directives de sécurité de Wyze dans tous les aspects, mieux communiquer ces protocoles aux employés de Wyze et augmenter la priorité des fonctions de sécurité demandées par les utilisateurs au-delà de l'authentification à deux facteurs », a déclaré Wyze.
Les clients ont aussi informé le jeudi que les serveurs d’authentification à double facteur de la société de sécurité étaient surchargés par les demandes et que les gens pourraient avoir du mal à se connecter. Mais Wyze a annoncé dans son post de jeudi que le problème avait été résolu environ 4 heures plus tard.
Cette fuite de données est l’un des événements difficiles vécus par Wyze cette année. En effet, la startup d'IA, avec laquelle la société s'était associée pour lancer en juillet dernier une nouvelle fonction de détection des personnes à l'aide de l'IA pour ses caméras de sécurité à prix abordable, a abandonné cette fonction en novembre. Aussi, le lancement de son service d'abonnement a dû être retardé ce même mois en raison de "problèmes critiques" non spécifiés.
Wyze est connu pour les prix abordables de ses solutions, toutefois, M. Song a tenu à souligner dans son post que cela ne signifie pas que l’entreprise prend la sécurité moins au sérieux. « Nous avons souvent entendu des gens dire : "Vous payez pour ce que vous obtenez", en supposant que les produits Wyze sont moins sécurisés parce qu'ils sont moins chers. Ce n'est pas vrai », a écrit M. Song, avant d’ajouter que « Nous avons toujours pris la sécurité très au sérieux, et nous sommes dévastés d'avoir laissé tomber nos utilisateurs comme ça ».
Par ailleurs, un commentateur du sujet a écrit que la cause du problème est que l'entreprise était trop bon marché pour acheter les serveurs et la bande passante nécessaires pour faire les choses rapidement et en toute sécurité.
Sources : Wyze, Twelve Security
Et vous ?
Que pensez-vous de cette violation de données ?
Wyze blâme un employé qui n'a pas réussi à maintenir les protocoles de sécurité pendant un transfert de données. Qu’en pensez-vous ?
Pour certains, la raison de la fuite de données reposerait sur le fait que les produits de Wyze soient trop bon marché. Quel commentaire en faites-vous ?
Lire aussi
2019 a été une « année record » en termes de violations de données, petit tour d'horizon sur celles qui ont le plus marqué
Une fuite de données a révélé les renseignements personnels de plus de 3 000 utilisateurs de Ring, mais la société a nié que ses systèmes avaient été compromis
Une importante fuite de données révèle des secrets des gens ultra-riches cachant leurs fortunes dans des paradis fiscaux, les documents sont en cours de divulgation sous le nom de "29 Leaks"
Firefox Monitor, le tableau de bord qui vous prévient si une fuite de données en ligne vous concerne, est désormais disponible en français
Wyze, une startup de caméra de sécurité, a divulgué des données sur des millions de clients,
Dont les adresses électroniques, les informations SSID et les jetons API
Wyze, une startup de caméra de sécurité, a divulgué des données sur des millions de clients,
Dont les adresses électroniques, les informations SSID et les jetons API
Le , par Stan Adkens
Une erreur dans cette actualité ? Signalez-nous-la !