La caméra de sécurité domestique intelligente WyzeCam de Wyze Labs. (Photo de Wyze Labs)
Un client de Wyze Labs poursuit le fabricant de caméras de sécurité intelligentes de Seattle à la suite d’une violation de données l’an dernier qui a révélé des informations personnelles d’environ 2,4 millions d’utilisateurs.
Le procès allègue que Wyze a été négligent et n’a pas respecté les règlements de la Federal Trade Commission des États-Unis pour la gestion des informations sur les clients. Le demandeur, Matthew Schoolfield du Texas, demande le statut de recours collectif dans le procès.
« Non seulement les données exposées rendent les clients Wyze plus vulnérables au vol d’identité et à la fraude financière à l’avenir, mais il est désormais possible pour n’importe quel individu n’importe où dans le monde d’accéder aux flux vidéo en direct de chaque caméra Wyze en ligne », allègue le procès.
Nous avons contacté Wyze pour obtenir des commentaires sur le costume. Au moment de la violation, la société a déclaré qu’elle résultait d’une erreur humaine, une cause courante de tels problèmes. La société a déclaré que le problème était survenu lors du développement de nouvelles façons de mesurer des mesures telles que les activations des appareils et les taux de connexion défaillants.
«Nous avons copié certaines données de nos principaux serveurs de production et les avons stockées dans une base de données plus flexible et plus facile à interroger», a écrit Dongsheng Song, cofondateur de Wyze et chef de produit, dans un article sur la violation en décembre. «Ce nouveau tableau de données était protégé lors de sa création initiale. Cependant, une erreur a été commise par un employé de Wyze le 4 décembre lorsqu’il utilisait cette base de données et les protocoles de sécurité précédents pour ces données ont été supprimés. »
Fondée en 2017 par un groupe de vétérans d’Amazon, Wyze propose une série d’appareils photo, serrures, prises, ampoules et autres appareils intelligents à bas prix. L’entreprise, basée à Kirkland, Washington, a levé 20 millions de dollars il y a un peu plus d’un an. Wyze était séparément dans les nouvelles après qu’une autre startup de Seattle, Xnor.ai, se soit retirée d’un accord pour fournir sa technologie de reconnaissance de personne aux caméras Wyze avant l’acquisition de Xnor par Apple.
Twelve Security a d’abord repéré la brèche et l’a rendue publique en décembre, affirmant que les données divulguées étaient les suivantes:
- Nom d’utilisateur et e-mail de ceux qui ont acheté des appareils photo et les ont ensuite connectés à leur domicile
- Courriel de tout utilisateur avec lequel il a déjà partagé l’accès à la caméra, comme un membre de la famille
- Liste de toutes les caméras de la maison, surnoms pour chaque caméra, modèle d’appareil et firmware
- SSID WiFi, disposition du sous-réseau interne, dernière heure pour les caméras, dernière heure de connexion depuis l’application, dernière heure de déconnexion depuis l’application
- Jeton d’API pour l’accès au compte d’utilisateur depuis n’importe quel appareil iOS ou Android
- Jetons Alexa pour 24 000 utilisateurs qui ont connecté des appareils Alexa à leur caméra Wyze
- Taille, poids, sexe, densité osseuse, masse osseuse, apport quotidien en protéines et autres informations de santé pour un sous-ensemble d’utilisateurs
Wyze a cité cette liste dans son article d’origine sur la brèche, mais a ajouté: « Nous ne collectons pas d’informations sur la densité osseuse et l’apport quotidien en protéines, même à partir des produits qui sont actuellement en test bêta. »
Voici le costume complet:
Schoolfield vs. Wyze de Nat Levy sur Scribd