От много години Eufy Security се гордее с високата степен на защита поверителността на потребителите, което се постига най-вече чрез локално записване на кадрите и видеата от техните охранителни камери. Но сега един от водещите експерти в сферата на информационната сигурност доказа, че някои камери на Eufy качват снимки, изображения за разпознаване на човешките лица и други лични данни към своите сървъри без да иска съгласието на потребителите.

Специалистът по киберсигурност Пол Мур доказа, че охранителните камери на Anker Eufy все пак изпращат уж записаните единствено локално файлове в електронния облак на компанията, при това дори без криптиране. Нещо повече, експертът показа, че тези данни се съхраняват в AWS облака на Amazon заедно с конкретното потребителско име и други лични данни, като очевидно по този начин за трета страна става възможно идентифицирането на всеки човек, застанал пред камерите на Eufy. Това е тотален пробив на сигурността и поверителността, който може да разпали сериозен скандал.

Компанията Eufy продава два основни типа охранителни камери. Това са камери, които директно се свързват с домашната Wi-Fi мрежа и камери, които се свързват с базовата домашна станция Eufy HomeBase чрез жична или безжична интернет връзка. По принцип устройството Eufy HomeBase е проектирано да записва и съхранява заснетия от охранителните камери материал единствено локално на своя хард диск. Но дори да не сте си купили HomeBase, предлаганите от Eufy устройства SoloCam и Doorbell, които се свързват директно към домашната Wi-Fi мрежа, съхраняват информацията в самото охранително устройство, което разполага с достатъчен собствен информационен капацитет.

Пол Мур е използвал устройството Eufy Doorbell Dual с директна Wi-Fi безжична връзка без използването на Eufy HomeBase. Ето видеото, публикувано от експерта на 23-ти ноември 2022 година.

Видеото показва, че Eufy качва както изображението от камерата, така и умаленото изображение, предназначено за лицево разпознаване. Освен това, изображението се съхранява заедно с други метаданни, две от които са неговото потребителско име плюс ID на друг потребител, както и неговото записано и съхранено лице, което може да се използва за лицево разпознаване (Face_ID).

Мур направил проверката чрез използването на друга охранителна камера, след което проверил данните, подавани към облака на AWS. Експертът специално подчертава, че е използвал съвсем друга камера, ново потребителско име и дори едно Eufy HomeBase устройство, за което компанията гарантира, че записва всичко единствено локално. Само че Eufy е успяла да разпознае и да свърже новото Face ID с неговата снимка – тоест, той е безпогрешно разпознат от тази система.

Нещо по-лошо, всичко това доказва, че Eufy съхранява тези данни в своя електронен облак, а нейните камери без проблеми разпознават лицата в техния обсег, без каквото и да било съгласие на хората. За да подкрепи тези твърдения Мур публикува друго видео, в което изтрива клиповете, записани в охранителните камери и Eufy HomeBase, но лицето му продължава да се разпознава. А това означава, че тези изображения са си останали в сървърите на компанията.

И още, Мур заяви, че е успял в реално време да запише видеото от камерата, без каквото и да било удостоверяване, които би се харесало на хакерите и воайорите. Но той не публикува подробности, за да няма злоупотреби.

Скандалът е неминуем, понеже съхраняването на потребителски идентификатори и други данни, с помощта на които е възможно идентифицирането на конкретните личности, е изключително грубо нарушение на конфиденциалността, информационната безопасност и неприкосновеността на личния живот.

Сега Eufy твърди, че е решила този проблем и е запушила тази дупка в сигурността. Но няма начин как със сигурност да се провери дали компанията не продължава да съхранява тези данни в своя електронен облак без съгласието на потребителите.

Самият Пол Мур е гражданин на Обединеното Кралство и заяви, че е предприел правни действия срещу Eufy за нарушаването на Общия регламент за защита на данните (GDPR).