Un ricercatore di sicurezza ha affermato che le telecamere di sicurezza di eufy caricano foto contenenti dati di identificazione personale sui propri server, violando non solo il proprio KPO, ma anche il regolamento generale sulla protezione dei dati (GDPR) dell'UE.
Secondo un rapporto di Android Central (si apre in una nuova scheda), il ricercatore di sicurezza Paul Moore ha scoperto che la fotocamera Eufy Doorbell Dual carica i dati di riconoscimento facciale nel cloud AWS dell'azienda, senza crittografia.
La società, d'altra parte, afferma di essere pienamente conforme alle normative sulla protezione dei dati e che i dati raccolti vengono utilizzati solo per le notifiche.
È conforme al GDPR?
In una serie di tweet - si apre in una nuova scheda, Moore ha affermato che i dati sono stati archiviati insieme a nomi utente e altre informazioni che potrebbero essere utilizzate per identificare le persone le cui immagini sono state scattate. Inoltre, Eury conserva i dati anche quando l'utente li elimina dall'app Eufy, afferma.
Moore ha anche affermato che è possibile accedere al feed video tramite un browser Web, semplicemente conoscendo l'URL corretto, senza che sia richiesta alcuna password. I video delle telecamere crittografati con AES 128 utilizzano una semplice chiave che può essere violata in modo relativamente semplice, ha affermato.
Da quando è arrivata la notizia, la società afferma di aver risolto "alcuni dei problemi", ma non è più trasparente di così, quindi è impossibile verificare se il problema persiste.
"Purtroppo (o fortunatamente, in qualunque modo la si guardi), eufy ha già rimosso la chiamata dalla rete e crittografato pesantemente le altre per renderla quasi impossibile da rilevare; quindi i miei precedenti PoC non funzionano più. Potresti essere in grado di farlo manualmente chiama l'endpoint specifico utilizzando i payload visualizzati, che possono comunque restituire un risultato ", ha aggiunto Moore in seguito.
Eufy, d'altra parte, ha dichiarato alla pubblicazione che i suoi prodotti "sono conformi agli standard del regolamento generale sulla protezione dei dati (GDPR), comprese le certificazioni ISO 27701/27001 ed ETSI 303645". Il problema sembra essere quando un utente decide di volere miniature con le proprie notifiche.
Le notifiche della fotocamera sono di solo testo per impostazione predefinita, il che significa che non vengono scaricate miniature a meno che, come nel caso di Moore, gli utenti non abilitino manualmente la funzione.
Eufy ha anche affermato che le miniature vengono caricate "temporaneamente" sui loro server, prima di essere inviate come notifica. Inoltre, la società ha affermato che le sue pratiche di notifica push "sono conformi al servizio di notifica push di Apple e agli standard di messaggistica cloud Firebase" e si autoeliminano. Non ha detto quando.
Le miniature utilizzano anche la crittografia lato server, ha aggiunto la società, affermando che non dovrebbero essere visibili agli utenti non autorizzati.
"Sebbene la nostra app Eufy Security consenta agli utenti di scegliere tra notifiche push basate su testo o tile, non è stato specificato che la scelta di notifiche basate su tile richiederebbe che le immagini di anteprima fossero brevemente ospitate nel cloud. la nostra parte e ci scusiamo sinceramente per il nostro errore", ha concluso la società.
In futuro, Eufy afferma che cambierà la lingua dell'opzione di notifica push, così come l'uso del cloud per le notifiche push.