Formée en 2017 par des anciens ingénieurs d'Amazon, Wyze (Wyze Labs ; anciennement Wyzecam) est une entreprise américaine spécialisée dans les caméras IP de surveillance et les produits pour la maison intelligente, comme par exemple des serrures et prises connectées.
L'ambition de Wyze est de fabriquer des produits connectés de haute qualité, faciles à utiliser, avec des fonctionnalités appréciées et bon marché. Wyze se retrouve aujourd'hui dans une situation inconfortable en raison d'une fuite de données.
La décision a été prise d'alerter tous les clients, sachant que sont touchés tous ceux ayant créé un compte avant le 26 décembre 2019. Alors que l'enquête est toujours en cours, Wyze dit être en mesure de confirmer la nature des données exposées.
Il s'agit de surnoms (le nom du compte avec l'application Wyze), les noms des appareils, adresses email, photos de profil, noms de routeurs Wi-Fi et des jetons associés aux intégrations Alexa (l'assistant vocal d'Amazon). Ces tokens ont été réinitialisés, ce qui demandera de rétablir des liens avec des skills, de même que les tokens pour Google Assistant et IFTTT.
Wyze, qui présente ses excuses, souligne que l'information compromise ne contenait pas de mots de passe, de données financières ou des fichiers vidéo.
D'après un rapport de Twelve Security, ce sont les données de près de 2,4 millions de clients de Wyze qui ont été compromises. À l'origine, il y aurait un défaut de sécurité avec une base de données Elasticsearch. Des données auraient ainsi été exposées en ligne du 4 au 26 décembre.
Selon Dongsheng Song, cofondateur de Wyze Labs, le serveur exposé n'était pas un serveur de production. La base de données concernée était une copie pour permettre des requêtes plus rapides. Un employé aurait commis une erreur ayant entraîné la suppression des protocoles de sécurité du serveur.
À la suite d'une procédure de vérification et d'audit, il a également été découvert qu'une autre base de données n'était pas protégée. " Il ne s'agissait pas d'une base de données de production et nous pouvons confirmer que les mots de passe et données financières personnelles n'étaient pas inclus dans cette base de données. "
Dongsheng Song réfute par ailleurs des allégations de Twelve Security selon lesquelles des données des utilisateurs étaient envoyées à un serveur cloud d'Alibaba en Chine.
" Nous avons souvent entendu des gens dire : ' Vous payez pour ce que vous obtenez ', en supposant que les produits Wyze sont moins sécurisés parce qu'ils sont mois chers. Ce n'est pas vrai. Nous avons toujours pris la sécurité très au sérieux et nous sommes dévastés d'avoir laissé tomber nos utilisateurs comme ça. C'est un signal clair que nous devons revoir complètement toutes les directives de sécurité de Wyze dans tous les aspects ", ajoute le cofondateur.
