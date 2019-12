Wyze, start-up américaine proposant caméras et serrures connectées, entre autres dispositifs IoT (Internet of Things), a confirmé avoir subi une fuite de données d’ampleur.

L’incident s’est produit à la suite d’une migration mal négociée par l’entreprise vers une base de données interne (utilisant Elasticsearch, moteur de recherche et d’analyse RESTful distribué), a déclaré dans un billet de blog le cofondateur de Wyze, Dongsheng Song.

« Nous confirmons que certaines données d’utilisateurs de Wyze n’ont pas été correctement sécurisées et ont été exposées [en ligne] du 4 au 26 décembre » 2019, a-t-il déclaré.

Plus de 2,4 millions de clients Wyze auraient été impactés, ont rapporté la société texanne de cybersécurité Twelve Security, la première a avoir signalé l’incident, et le site spécialisé IPVM. Wyze a fait un premier bilan des données exposées en fin de semaine denière.

« La vulnérabilité n’a impliqué aucun de nos systèmes de production », a déclaré l’entreprise américaine. Cette base de données « ne contenait ni les mots de passe d’utilisateurs, ni leurs informations financières », a ajouté la firme. La base contenait, en revanche, « des adresses e-mail de clients, ainsi que les surnoms attribués à des dispositifs, les SSID WiFi, des informations sur les appareils Wyze, les mensurations d’un petit nombre de bêta-testeurs de produits et des jetons associés aux intégrations Alexa », l’IA conversationnelle d’Amazon.

Après vérification de « tous » ses serveurs et bases, Wyze dit avoir découvert « qu’une base de données supplémentaire n’était pas protégée. » Il ne s’agissait toujours pas d’une base de données de production, selon l’entreprise. Depuis, le fournisseur a bloqué les systèmes concernés, déconnecté tous les utilisateurs Wyze de leurs comptes.

Les utiliseurs devront s’authentifier à nouveau et reconnecter leurs intégrations avec des applications et services tiers comme Alexa, Google Assistant ou IFTTT.

Enfin, l’entreprise s’est engagée à informer tous les clients concernés par e-mail, fournir les mise à jour qui s’imposent et livrer prochainement les résultats de son enquête.

