Badacz bezpieczeństwa twierdził, że kamery bezpieczeństwa eufy przesyłają zdjęcia zawierające dane osobowe na jej serwery, naruszając nie tylko własne KPO, ale także ogólne rozporządzenie UE o ochronie danych (RODO).
Według raportu Android Central (otwiera się w nowej karcie), badacz bezpieczeństwa Paul Moore odkrył, że podwójny aparat Eufy Doorbell przesyła dane rozpoznawania twarzy do firmowej chmury AWS bez szyfrowania.
Z drugiej strony firma twierdzi, że działa w pełni zgodnie z przepisami o ochronie danych osobowych, a zebrane dane służą wyłącznie do powiadomień.
Czy jest zgodny z RODO?
W serii tweetów – otwiera się w nowej karcie, Moore twierdził, że dane były przechowywane wraz z nazwami użytkowników i innymi informacjami, które można wykorzystać do identyfikacji osób, których zdjęcia zostały zrobione. Co więcej, Eury zachowuje dane nawet wtedy, gdy użytkownik usunie je z aplikacji Eufy.
Moore powiedział również, że dostęp do kanału wideo można uzyskać za pośrednictwem przeglądarki internetowej, po prostu znając poprawny adres URL, bez hasła. Powiedział, że filmy z kamer zaszyfrowane za pomocą AES 128 używają prostego klucza, który można stosunkowo łatwo złamać.
Odkąd pojawiły się wiadomości, firma twierdzi, że naprawiła „niektóre problemy”, ale nie jest to bardziej przejrzyste, więc nie można sprawdzić, czy problem nadal występuje.
„Niestety (lub na szczęście, jakkolwiek na to spojrzeć), eufy usunął już połączenie z sieci i mocno zaszyfrował inne, aby prawie uniemożliwić wykrycie, więc moje poprzednie PoC już nie działają. Możesz być w stanie ręcznie wywołać określony punkt końcowy za pomocą wyświetlanych ładunków, które nadal mogą zwrócić wynik” – dodał później Moore.
Z drugiej strony Eufy powiedział publikacji, że jej produkty „są zgodne ze standardami ogólnego rozporządzenia o ochronie danych (RODO), w tym certyfikatami ISO 27701/27001 i ETSI 303645”. Wydaje się, że problem polega na tym, że użytkownik decyduje, że chce miniatur z powiadomieniami.
Powiadomienia z aparatu są domyślnie tylko tekstowe, co oznacza, że żadne miniatury nie są pobierane, chyba że, tak jak w przypadku Moore, użytkownicy ręcznie włączą tę funkcję.
Eufy powiedział również, że miniatury są przesyłane „tymczasowo” na ich serwery, zanim zostaną wysłane jako powiadomienie. Ponadto firma stwierdziła, że jej praktyki powiadomień push „są zgodne ze standardami Apple Push Notification Service i Firebase Cloud Messaging Standards” i samousuwają się. Nie powiedział kiedy.
Miniatury wykorzystują również szyfrowanie po stronie serwera, dodała firma, mówiąc, że nie powinny być widoczne dla nieautoryzowanych użytkowników.
„Chociaż nasza aplikacja Eufy Security pozwala użytkownikom wybierać pomiędzy powiadomieniami push w formie tekstowej lub kafelkowej, nie określono, że wybranie powiadomień opartych na kafelkach wymagałoby krótkiego przechowywania obrazów podglądu w chmurze. Ta nieporozumienie było przeoczeniem z naszej strony i szczerze przepraszamy za nasz błąd” – podsumowała firma.
Eufy mówi, że w przyszłości zmieni język opcji powiadomień push, a także wykorzystanie chmury do powiadomień push.