Исследователь безопасности заявил, что камеры видеонаблюдения Eufy загружают фотографии, содержащие личные данные, на его серверы, нарушая не только собственное ключевое торговое предложение, но и Общий регламент ЕС по защите данных (GDPR).
Согласно отчету Android Central (откроется в новой вкладке), исследователь безопасности Пол Мур обнаружил, что камера Eufy Doorbell Dual загружает данные распознавания лиц в облако AWS компании без шифрования.
Компания же утверждает, что полностью соблюдает правила защиты данных и что собранные данные используются только для уведомлений.
Соблюдаете ли вы GDPR?
В серии твитов (открывается в новой вкладке) Мур заявил, что данные хранятся вместе с именами пользователей и другой информацией, которая может быть использована для идентификации людей, чьи изображения были сделаны. Кроме того, Eury сохраняет данные, даже когда пользователь удаляет их из приложения Eufy, утверждает компания.
Мур также сказал, что доступ к видеопотоку можно получить через веб-браузер, просто зная правильный URL-адрес, без необходимости пароля. По его словам, видео с камеры, зашифрованные с помощью AES 128, используют простой ключ, который можно относительно легко расшифровать.
С момента появления этой новости компания утверждает, что устранила «некоторые проблемы», но это не более прозрачно, что делает невозможным проверить, сохраняется ли проблема.
«К сожалению (или к счастью, как ни крути), Eufy уже удалил вызов из сети и тщательно зашифровал остальные, чтобы его практически невозможно было обнаружить; поэтому мой предыдущий PoC больше не работает. Возможно, вы сможете вручную вызвать конкретную конечную точку, используя показанные полезные данные, которые все равно могут вернуть результат», — добавил позже Мур.
Eufy, с другой стороны, сообщила изданию, что ее продукты «соответствуют стандартам Общего регламента защиты данных (GDPR), включая сертификаты ISO 27701/27001 и ETSI 303645». Кажется, проблема заключается в том, что пользователь решает, что ему нужны миниатюры для уведомлений.
Уведомления камеры по умолчанию являются только текстовыми, то есть миниатюры не загружаются, если только, как в случае с Муром, пользователи не включили эту функцию вручную.
Eufy также сообщила, что миниатюры «временно» загружаются на ее серверы, прежде чем отправляться в качестве уведомления. Кроме того, компания заявила, что ее методы push-уведомлений «соответствуют службам push-уведомлений Apple и стандартам облачных сообщений Firebase» и автоматически удаляются. Он не сказал, когда.
В миниатюрах также используется шифрование на стороне сервера, добавили в компании, заявив, что они не должны быть видны неавторизованным пользователям.
«Хотя наше приложение Eufy Security позволяет пользователям выбирать между текстовыми или плиточными push-уведомлениями, не было указано, что для выбора плиточных уведомлений потребуется ненадолго разместить изображения предварительного просмотра в облаке. Это недопонимание: «Это был недосмотр». с нашей стороны и приносим искренние извинения за нашу ошибку», — заключили в компании.
В будущем Eufy заявляет, что изменит язык push-уведомлений, а также использование облака для push-уведомлений.