Wyze vient d’annoncer avoir été victime d’une fuite de données massive ayant touché pas moins de 2,4 millions d’utilisateurs de ses produits. La start-up, fondée en 2017 à Seattle par quatre anciens ingénieurs d’Amazon, est spécialisée dans la fabrication de caméras IP et d’objets connectés à prix bas.
Des millions de données personnelles dans la nature
Tous les utilisateurs d’appareils Wyze ayant créé un compte avant le 26 décembre 2019, date de la découverte de la brèche, sont concernés. Les données ayant fuité contiennent, entre autres, le nom des appareils, l’adresse e-mail des utilisateurs et des proches avec lesquels ils ont partagé l’accès à leur caméra, des photos de profil, les noms des utilisateurs inscrits sur la plateforme, ou encore le SSID du point d’accès Wi-Fi auxquels sont connectés les appareils.
Par ailleurs, des données de santé telles que le poids, la taille, le genre, la masse osseuse, la quantité de protéines ingurgitées quotidiennement et d’autres données de santés ont aussi fuité pour un certain nombre d’utilisateurs.
L’entreprise a toutefois affirmé dans un message publié sur son forum qu’aucun mot de passe, donnée bancaire ou enregistrement vidéo ne faisaient partie des éléments ayant été compromis.
Une erreur humaine à l’origine de la fuite
Au total, cette fuite représente quelque 40 millions d’enregistrements. Comprenez par-là 40 millions d’éléments, un utilisateur enregistrant à lui seul plusieurs dizaines d’informations personnelles lorsqu’il configure un produit.
L’origine de cette fuite massive serait purement accidentelle et serait en fait due à une erreur humaine. Pour faire face à la croissance rapide de l’entreprise, Wyze a en effet expliqué avoir dû créer un outil interne permettant de mieux gérer et mesurer ses données (nombre d’activations d’appareils, taux d’échec de connexions, etc.). Pour cela, certaines données du serveur principal ont été copiées dans une base de données plus flexible et plus simple à interroger.
Cette base, qui a été protégée à sa création, a ensuite été utilisée par des employés de Wyze qui ont commis une erreur en la manipulant.. et ont désactivé la protection.
L’entreprise, qui n’a pas cessé de s’excuser, a indiqué qu’elle était en train de revoir très sérieusement ses règles et ses protocoles de sécurité avec ses employés. Elle a d’ailleurs indiqué qu’elle avait pour cela fait appel à une société indépendante spécialisée dans la sécurité informatique, pour réaliser un audit complet dans le but de renforcer ses protocoles de sécurité.
Sources : Twelve Security, IPVM, Wyze
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.