Bir güvenlik araştırmacısı, Eufy güvenlik kameralarının kişisel olarak tanımlanabilir veriler içeren fotoğrafları sunucularına yüklediğini iddia etti.
Android Central tarafından yayınlanan bir habere göre, güvenlik araştırmacısı Paul Moore, Eufy Doorbell Dual kameranın yüz tanıma verilerini şifreleme olmadan şirketin AWS bulutuna yüklediğini keşfetti. Şirket ise veri koruma yönetmeliğine tam olarak uyduğunu ve toplanan verilerin yalnızca bildirimler için kullanıldığını söylüyor.
Moore, gönderdiği bir tweet serisinde, verilerin, görüntüleri çekilen kişileri tanımlamak için kullanılabilecek kullanıcı adları ve diğer bilgilerle birlikte saklandığını iddia ediyor. Ayrıca, kullanıcı verileri Eufy uygulamasından sildiğinde bile Eury'nin verileri sakladığı iddiası söz konusu.
.@EufyOfficial - Couple of Q's
— Paul Moore (@Paul_Reviews) November 21, 2022
Why is my "local storage" #doorbellDual storing every face, without encryption, to your servers?
Why can I stream my camera without #authentication?!
But crucially, is this really the AES key for my video footage? Please tell me it's not. pic.twitter.com/uV70koBjLk
Ayrıca Moore, video akışına bir web tarayıcısı aracılığıyla, yalnızca doğru URL'yi bilerek ve şifre gerektirmeden erişilebileceğini söylüyor.
Haberin yayınlanmasından sonra şirket "bazı sorunları" düzelttiğini söylemiş olsa da, daha fazla açıklama yapmadığı için sorunun devam edip etmediğini doğrulamak imkansız.
Android kilit ekranını parolasız geçmeyi başaran araştırmacı, Google'dan ufak bir servet kazandıHaberlerDaha sonra Moore "Ne yazık ki (veya bakış açınıza göre neyse ki), Eufy ağ aramasını çoktan kaldırdı ve diğerlerini algılamayı neredeyse imkansız hale getirmek için ağır bir şekilde şifreledi; bu nedenle önceki PoC'lerim [kavram açıklarının kanıtı] artık çalışmıyor. Gösterilen yükleri kullanarak belirli uç noktayı manuel olarak arayabilirsiniz, bu da yine de bir sonuç verebilir" diye ekledi.
Eufy ise ürünlerinin "ISO 27701/27001 ve ETSI 303645 sertifikaları dahil olmak üzere Genel Veri Koruma Yönetmeliği (GDPR) standartlarına tam uyumlu" olduğunu söylüyor.