Bir güvenlik araştırmacısı, Eufy güvenlik kameralarının kişisel olarak tanımlanabilir veriler içeren fotoğrafları sunucularına yüklediğini ve yalnızca kendi anahtar satış teklifini değil, aynı zamanda AB’nin Genel Veri Koruma Yönetmeliğini (GDPR) de ihlal ettiğini iddia etti.
tarafından hazırlanan bir rapora göre Android Merkezi (yeni sekmede açılır)güvenlik araştırmacısı Paul Moore, Eufy Doorbell Dual kameranın yüz tanıma verilerini şifreleme olmadan şirketin AWS bulutuna yüklediğini keşfetti.
Şirket ise veri koruma yönetmeliğine tam olarak uyduğunu ve toplanan verilerin yalnızca bildirimler için kullanıldığını söylüyor.
GDPR ile uyumlu mu?
İçinde tweet dizisi (yeni sekmede açılır)Moore, verilerin, görüntüleri çekilen kişileri tanımlamak için kullanılabilecek kullanıcı adları ve diğer bilgilerle birlikte saklandığını iddia etti. Dahası, Eury, verileri kullanıcı Eufy uygulamasından sildiğinde bile sakladığını iddia ediyor.
Moore ayrıca video akışına bir web tarayıcısı aracılığıyla, yalnızca doğru URL’yi bilerek ve şifre gerektirmeden erişilebileceğini söyledi. AES 128 ile şifrelenen kamera videoları, nispeten kolayca kırılabilen basit bir anahtar kullanıyor, dedi.
Haberi verdikten sonra şirket “bazı sorunları” düzelttiğini iddia ediyor, ancak bundan daha şeffaf davranmıyor, bu nedenle sorunun devam edip etmediğini doğrulamak imkansız.
“Maalesef (ya da neyse ki, nasıl bakarsanız bakın), Eufy ağ aramasını çoktan kaldırdı ve diğerlerini algılamayı neredeyse imkansız hale getirmek için yoğun bir şekilde şifreledi; bu yüzden önceki PoC’lerim [proof of concept exploits] artık çalışmıyor. Gösterilen yükleri kullanarak belirli uç noktayı manuel olarak arayabilirsiniz, bu da yine de bir sonuç verebilir,” diye ekledi Moore daha sonra.
Eufy ise yayına ürünlerinin “ISO 27701/27001 ve ETSI 303645 sertifikaları dahil olmak üzere Genel Veri Koruma Yönetmeliği (GDPR) standartlarına tam uyumlu” olduğunu söyledi. bildirimleriyle birlikte küçük resimler.
Kameradan gelen bildirimler varsayılan olarak salt metindir, yani Moore’da olduğu gibi kullanıcılar özelliği manuel olarak etkinleştirmedikçe hiçbir küçük resim yüklenmez.
Eufy ayrıca küçük resimlerin bir bildirim olarak gönderilmeden önce sunucularına “geçici olarak” yüklendiğini söyledi. Ayrıca şirket, push bildirim uygulamalarının “Apple Push Notification hizmeti ve Firebase Cloud Messaging standartlarına uygun” olduğunu ve otomatik silme olduğunu söyledi. Ne zaman olduğunu söylemedi.
Şirket, küçük resimlerin ayrıca sunucu tarafı şifreleme kullandığını ve bunların yetkisiz kullanıcılar tarafından görülmemesi gerektiğini de sözlerine ekledi.
“Eufy Security uygulamamız, kullanıcıların metin tabanlı veya küçük resim tabanlı anlık bildirimler arasında seçim yapmasına izin verse de, küçük resim tabanlı bildirimleri seçmenin önizleme görüntülerinin kısa süreliğine bulutta barındırılmasını gerektireceği açıklanmadı. Bizim tarafımızdan yapılan bir ihmal ve hatamız için içtenlikle özür dileriz, ”diye bitirdi şirket.
İleriye dönük olarak Eufy, push bildirim seçeneği dilini ve push bildirimleri için bulut kullanımını değiştireceğini iddia ediyor.