Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Wyze, une startup de caméra de sécurité, a divulgué des données sur des millions de clients,
Dont les adresses électroniques, les informations SSID et les jetons API

Le , par Stan Adkens

50PARTAGES

15  0 
Un rapport de sécurité publié vendredi dernier a indiqué que 2019 a été une « année record » en termes de violations de données. Alors que l’année est sur le point de se terminer, une autre entreprise a été victime d’une fuite massive de données. Wyze, une startup américaine de caméras de sécurité, a confirmé avoir subi une fuite de données durant plus d’une vingtaine de jour en décembre, qui aurait pu laisser les informations personnelles de millions de ses clients exposées sur Internet. Bien qu’aucune information financière ou aucun mot de passe n'a été exposé, Twelve Security, qui a été la première à signaler la fuite, a annoncé jeudi dernier que les adresses e-mail, les identifiants de réseau Wi-Fi et les données du corps de plus de 2,4 millions de clients ont été laissés sans protection du 4 au 26 décembre.

La fuite, découverte par la société de cybersécurité Twelve Security, a été ensuite confirmée par IPVM, un blog consacré aux produits de vidéosurveillance, après avoir vérifié que ses propres données avaient été affectées par la fuite. Dans son message de confirmation de la violation de données sur son forum, Dongsheng Song, cofondateur de Wyze, a écrit que le serveur non sécurisé n'était pas un serveur de production, mais plutôt une « base de données flexible » qui a été créée pour permettre une interrogation plus rapide des données des clients.


En effet, les données auraient été accidentellement laissées exposées lors de leur transfert vers une nouvelle base de données afin de faciliter leur consultation, mais un employé de l'entreprise n'a pas réussi à maintenir les protocoles de sécurité pendant le processus, a écrit M. Song à l’endroit de ses clients vendredi, après avoir dit le jeudi ne pas être sûr qu’une fuite avait lieu. « Nous étudions toujours cet événement pour comprendre pourquoi et comment cela s'est produit », a-t-il écrit.

« La vulnérabilité a débuté le 4 décembre et n'a concerné aucune de nos tables de données de production. Bien qu'elle soit importante, cette base de données ne contenait qu'un sous-ensemble de données. Elle ne contenait pas de mots de passe d'utilisateur ni de renseignements personnels ou financiers réglementés par le gouvernement. Elle contenait des e-mails de clients, des surnoms de caméras, des SSID WiFi, des informations sur les périphériques Wyze, des mesures de corps pour un petit nombre de bêta-testeurs de produits et des jetons limités associés aux intégrations Alexa », ajouté le cofondateur.

Twelve Security a également affirmé que la base de données comprenait un grand nombre d'informations sur la santé, notamment la taille, le poids, la densité osseuse et l'apport quotidien en protéines. M. Song n’a pas contesté cette information et a confirmé que ces renseignements sur la santé étaient contenus dans la base de données laissée sans sécurité grâce à un test bêta d'un nouveau produit de balance intelligente. Cependant, Wyze a soutenu n’avoir jamais recueilli des renseignements sur la densité osseuse et l'apport quotidien en protéines.

Dans sa mise à jour du vendredi, Wyze a déclaré qu'il n'y avait aucune preuve que les jetons de connexion avaient été exposés, mais dit avoir forcé tous les utilisateurs à se reconnecter afin de générer de nouveaux jetons. « Nous avons également dissocié toutes les intégrations tierces, ce qui a amené les utilisateurs à relancer les intégrations avec Alexa, Google Assistant et IFTTT pour retrouver la fonctionnalité de ces services. En outre, nous prenons des mesures pour améliorer la sécurité des caméras, ce qui entraînera un redémarrage de votre caméra dans les jours à venir », a ajouté la société afin de rassurer ses clients.

Les données de la base de données non sécurisée étaient envoyées au cloud d'Alibaba en Chine, d’après Twelve Security

La confidentialité des informations sensibles continue d'être un défi pour les gestionnaires de bases de données. Selon un rapport publié vendredi dernier, cette année a été marquée par des violations de données, au moins une entreprise ayant demandé à ses clients de changer les mots de passe pratiquement tous les mois. Le rapport de sécurité a indiqué que le nombre total de violations a augmenté de 33 % en 2019 par rapport à l'année dernière, d’après les recherches de Risk Based Security, les services médicaux, les détaillants et les entités publiques étant les plus touchés. 5183 violations de données pour un total de 7,9 milliards d'enregistrements exposés ont été enregistrées. En novembre, le spécialiste de sécurité a qualifié cette année de « pire année jamais enregistrée » pour les infractions.

Twelve Security a affirmé dans son message qu'il y avait des « indications claires » que les données exposées par la base de données non sécurisée étaient envoyées au cloud d'Alibaba en Chine. Mais le post du forum de M. Song a contesté cette affirmation. Il a déclaré que Wyze n'utilise pas le nuage d'Alibaba, et que bien que la société ait des employés et des partenaires de fabrication en Chine, elle ne partage pas les données des utilisateurs avec des organismes gouvernementaux.


Dans sa réaction à la faille de sécurité, M. Song a déclaré, dans sa mise à jour de dimanche, que Wyze avait découvert une deuxième base de données non protégée au cours de son enquête sur la fuite de données. Wyze ne s’est pas prononcé sur la nature des informations stockées dans cette base de données, mais M. Song a dit que les mots de passe et les données financières personnelles n'étaient pas inclus. Il a ajouté que l'entreprise est en train de revoir « tous les aspects » de ses directives de sécurité, et que pendant ce temps les utilisateurs des caméras Wyze devraient se méfier des attaques de phishing.

« C'est un signal clair que nous devons revoir complètement toutes les directives de sécurité de Wyze dans tous les aspects, mieux communiquer ces protocoles aux employés de Wyze et augmenter la priorité des fonctions de sécurité demandées par les utilisateurs au-delà de l'authentification à deux facteurs », a déclaré Wyze.
Les clients ont aussi informé le jeudi que les serveurs d’authentification à double facteur de la société de sécurité étaient surchargés par les demandes et que les gens pourraient avoir du mal à se connecter. Mais Wyze a annoncé dans son post de jeudi que le problème avait été résolu environ 4 heures plus tard.

Cette fuite de données est l’un des événements difficiles vécus par Wyze cette année. En effet, la startup d'IA, avec laquelle la société s'était associée pour lancer en juillet dernier une nouvelle fonction de détection des personnes à l'aide de l'IA pour ses caméras de sécurité à prix abordable, a abandonné cette fonction en novembre. Aussi, le lancement de son service d'abonnement a dû être retardé ce même mois en raison de "problèmes critiques" non spécifiés.

Wyze est connu pour les prix abordables de ses solutions, toutefois, M. Song a tenu à souligner dans son post que cela ne signifie pas que l’entreprise prend la sécurité moins au sérieux. « Nous avons souvent entendu des gens dire : "Vous payez pour ce que vous obtenez", en supposant que les produits Wyze sont moins sécurisés parce qu'ils sont moins chers. Ce n'est pas vrai », a écrit M. Song, avant d’ajouter que « Nous avons toujours pris la sécurité très au sérieux, et nous sommes dévastés d'avoir laissé tomber nos utilisateurs comme ça ».

Par ailleurs, un commentateur du sujet a écrit que la cause du problème est que l'entreprise était trop bon marché pour acheter les serveurs et la bande passante nécessaires pour faire les choses rapidement et en toute sécurité.

Sources : Wyze, Twelve Security

Et vous ?

Que pensez-vous de cette violation de données ?
Wyze blâme un employé qui n'a pas réussi à maintenir les protocoles de sécurité pendant un transfert de données. Qu’en pensez-vous ?
Pour certains, la raison de la fuite de données reposerait sur le fait que les produits de Wyze soient trop bon marché. Quel commentaire en faites-vous ?

Lire aussi

2019 a été une « année record » en termes de violations de données, petit tour d'horizon sur celles qui ont le plus marqué
Une fuite de données a révélé les renseignements personnels de plus de 3 000 utilisateurs de Ring, mais la société a nié que ses systèmes avaient été compromis
Une importante fuite de données révèle des secrets des gens ultra-riches cachant leurs fortunes dans des paradis fiscaux, les documents sont en cours de divulgation sous le nom de "29 Leaks"
Firefox Monitor, le tableau de bord qui vous prévient si une fuite de données en ligne vous concerne, est désormais disponible en français

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de alexetgus
Membre habitué https://www.developpez.com
Le 03/01/2020 à 14:11
Avant même de parler de prix, il faudrait peut-être évaluer les compétences des gars de la boutique, non ?
Des pieds nickelés n'auraient pas fait pire...
1  0 
Avatar de gerard093
Membre habitué https://www.developpez.com
Le 07/01/2020 à 10:21
les formations data sciences comportent généralement un module big data, et d'autres : data analytics, data visualisation, modélisation, mais oublient la formation à la sécurité du S.I

et il se trouve que les data scientists ont comme réflexe d'exporter les datas pour les traiter dans des environnements qui leur sont familier ... sans avoir été sensibilisé à la sécurité.

Un volet à ajouter aux formations ...
1  0 
Avatar de gerard093
Membre habitué https://www.developpez.com
Le 08/01/2020 à 11:10
Citation Envoyé par fredinkan Voir le message
Je te rassure (ou pas), mais les formations en data science oublient également de former sur de nombreux conceptes de statistiques (et probabilités), ce qui souvent provoque aussi de très gros problèmes sur l'output qui en est fait...
Le problème de l'enseignement des statistiques n'appartient pas au domaine des data sciences. C'est un problème général. De nombreux métiers ont recours aux statistiques (météorologiste, contrôleur de gestion, actuaire ...) mais dans ces métiers on parlera plutôt d'utilisateurs ou clients des data sciences.

D'autres métiers ont recours aux data sciences sans avoir une approche probabiliste - par exemple au travers d'outils de visualisation de l'utilisation des sms pour le contrôle des foules dans le cadre de la politique de gestion de la ville. En ce cas ... on gère des cartes !

le data learning n'est pas une activité statistique. Ce sont à la base des algorithmes de construction de modèles d'apprentissage. Les sciences cognitives (l'IA) ne sont pas du domaine des statistiques.

Par contre, comme dans les autres métiers, il y a un besoin d'interprétation des outputs, bien sûr, mais il y a aussi des tutoriaux pour aider les novices. Cette documentation est bien sûr indispensable. Elle aide à la compréhension des résultats.

Mais dans la majorité des cas, il n'est pas besoin de connaissances hors pair en statistiques pour pratiquer les data sciences. Il vaut mieux avoir de solides connaissances algorithmiques et une bonne maîtrise des ordinateurs. Les statistiques font donc partie du cours de modélisation (c'est là qu'on les trouve)

Le data scientist est donc quelqu'un qui sait lire les résultats et coordonner des projets avec des chances d'aboutir. Il sait également communiquer avec les autres scientifiques ou avec ses clients en traduisant les outputs en langage clair et compréhensible pour les néophytes. Ce doit être un bon communiquant.

si les utilisateurs de data sciences sont des physiciens de niveau bac+10, le data scientist idéal est physicien de niveau bac+10.
c'est là le vrai truc ! Il faut être aligné sur ses utilisateurs.
1  0 
Avatar de fredinkan
Membre éprouvé https://www.developpez.com
Le 07/01/2020 à 12:57
Je te rassure (ou pas), mais les formations en data science oublient également de former sur de nombreux conceptes de statistiques (et probabilités), ce qui souvent provoque aussi de très gros problèmes sur l'output qui en est fait...
0  0