กล้องรักษาความปลอดภัยแบรนด์หลักนี้อาจอัปโหลดรูปภาพไปยังคลาวด์โดยที่คุณไม่รู้ตัว

กล้องรักษาความปลอดภัยแบรนด์หลักนี้อาจอัปโหลดรูปภาพไปยังคลาวด์โดยที่คุณไม่รู้ตัว

นักวิจัยด้านความปลอดภัยอ้างว่ากล้องรักษาความปลอดภัยของ eufy อัปโหลดรูปภาพที่มีข้อมูลระบุตัวตนไปยังเซิร์ฟเวอร์ ซึ่งไม่เพียงแค่ละเมิด KPO ของตนเองเท่านั้น แต่ยังละเมิดกฎระเบียบคุ้มครองข้อมูลทั่วไป (GDPR) ของสหภาพยุโรปด้วย

ตามรายงานจาก Android Central (เปิดในแท็บใหม่) นักวิจัยด้านความปลอดภัย Paul Moore ค้นพบว่ากล้องคู่ Eufy Doorbell อัปโหลดข้อมูลการจดจำใบหน้าไปยัง AWS Cloud ของบริษัทโดยไม่มีการเข้ารหัส

ในทางกลับกัน บริษัทอ้างว่าเป็นไปตามข้อบังคับด้านการคุ้มครองข้อมูลอย่างสมบูรณ์ และข้อมูลที่รวบรวมจะใช้สำหรับการแจ้งเตือนเท่านั้น

สอดคล้องกับ GDPR หรือไม่

En una serie de tuits (se abre en una nueva pestaña), Moore afirmó que los datos se almacenaron junto con los nombres de usuario y otra información que podría usarse para identificar a las personas cuyas imágenes se tomaron. Además, Eury conserva los datos incluso cuando el usuario los elimina de la aplicación Eufy, afirma.

Moore también dijo que se podía acceder a la fuente de video a través de un navegador web, simplemente conociendo la URL correcta, sin necesidad de contraseña. Los videos de cámara encriptados con AES 128 usan una clave simple que se puede descifrar con relativa facilidad, dijo.

Desde que se dio a conocer la noticia, la compañía afirma haber solucionado "algunos de los problemas", pero no es más transparente que eso, por lo que es imposible verificar si el problema persiste.

"Desafortunadamente (o afortunadamente, se mire como se mire), Eufy ya eliminó la llamada de la red y encriptó fuertemente las demás para que sea casi imposible de detectar; así que mis PoC anteriores ya no funciona. Es posible que pueda llamar manualmente al punto final específico utilizando las cargas útiles que se muestran, lo que aún puede arrojar un resultado”, agregó Moore más tarde.

Eufy, por otro lado, dijo a la publicación que sus productos "cumplen con los estándares del Reglamento General de Protección de Datos (RGPD), incluidas las certificaciones ISO 27701/27001 y ETSI 303645". El problema parece ser cuando un usuario decide que quiere miniaturas con sus notificaciones.

การแจ้งเตือนของกล้องจะเป็นแบบข้อความเท่านั้นตามค่าเริ่มต้น ซึ่งหมายความว่าจะไม่มีการดาวน์โหลดภาพขนาดย่อ เว้นแต่ในกรณีของ Moore ผู้ใช้จะเปิดใช้งานคุณลักษณะนี้ด้วยตนเอง

Eufy también dijo que las miniaturas se cargan "temporalmente" en sus servidores, antes de enviarse como una notificación. Además, la compañía dijo que sus prácticas de notificaciones automáticas "cumplen con el Servicio de notificaciones automáticas de Apple y los Estándares de mensajería en la nube de Firebase" y se borran automáticamente. No dijo cuándo.

ภาพขนาดย่อยังใช้การเข้ารหัสฝั่งเซิร์ฟเวอร์ บริษัทกล่าวเสริมว่าไม่ควรปรากฏแก่ผู้ใช้ที่ไม่ได้รับอนุญาต

"Si bien nuestra aplicación Eufy Security permite a los usuarios elegir entre notificaciones automáticas basadas en texto o basadas en mosaicos, no se especificó que elegir notificaciones basadas en mosaicos requeriría que las imágenes de vista previa se alojaran brevemente en la nube. Esta falta de comunicación fue un descuido de nuestra parte y nos disculpamos sinceramente por nuestro error”, concluyó la compañía.

ในอนาคต Eufy กล่าวว่าจะเปลี่ยนภาษาของตัวเลือกการแจ้งเตือนแบบพุช รวมถึงการใช้คลาวด์สำหรับการแจ้งเตือนแบบพุช