Wyze, le fabricant de caméras de sécurité domestiques abordables, a rencontré vendredi un problème qui a permis à des milliers de clients d'accéder aux images et aux vidéos des caméras appartenant à d'autres utilisateurs.

Vendredi, une panne provoquée par un problème avec un partenaire Amazon Web Services (AWS) a empêché les clients de Wyze de visionner les images de leurs propres caméras pendant plusieurs heures. Alors que l'entreprise s'efforçait de rétablir le service, environ 13 000 utilisateurs de Wyze ont reçu des vignettes et des clips vidéo provenant de caméras qui ne leur appartenaient pas.

Dans un e-mail envoyé lundi aux clients, Wyze a reconnu qu'environ 1 500 utilisateurs avaient tapé sur ces miniatures incompatibles, visionnant potentiellement des vidéos d'événements provenant de caméras d'étrangers. La société a imputé le problème à une bibliothèque client de mise en cache tierce qui mélangeait les identifiants des appareils et des utilisateurs lors de la reconnexion massive des caméras après la panne.

« L'incident a été provoqué par une bibliothèque client de mise en cache tierce qui a été récemment intégrée à notre système. Cette bibliothèque cliente a subi des conditions de charge sans précédent causées par la remise en ligne simultanée des appareils. En raison de la demande accrue, il a mélangé le mappage des identifiants d’appareil et des identifiants d’utilisateur et a connecté certaines données à des comptes incorrects », a déclaré Wyze dans un e-mail.

En réponse aux clients signalant la violation de la vie privée, Wyze a bloqué l'accès à son onglet « Événements » et a ajouté une couche de vérification supplémentaire pour accéder aux vidéos des événements. La société a également déconnecté les utilisateurs qui avaient accédé à l'application vendredi pour réinitialiser les jetons d'authentification.

C'est la deuxième fois en cinq mois que les utilisateurs de Wyze signalent voir des flux provenant de caméras qu'ils ne possèdent pas. En septembre 2022, jusqu'à 2 300 utilisateurs auraient pu consulter les flux d'inconnus pendant 40 minutes en raison d'un « problème de mise en cache Web ». Wyze a affirmé avoir pris des mesures pour éviter que de tels incidents ne se reproduisent.

Cependant, les violations répétées de la vie privée ont frustré de nombreux clients de Wyze et ont remis en question les pratiques de sécurité de l'entreprise. Certains ont exprimé leurs inquiétudes quant à la gestion par Wyze des vulnérabilités précédemment révélées par les chercheurs en sécurité, qui auraient pu permettre l'accès aux flux de caméras et au contenu de la carte SD.

Alors que Wyze continue d'enquêter sur l'incident récent, les clients s'inquiètent de l'accès non autorisé aux images des caméras personnelles.

(Crédit d'image : Wyze)