Bir güvenlik araştırmacısı, Eufy güvenlik kameralarının bireysel olarak tanımlanabilir veriler içeren fotoğrafları sunucularına yüklediğini iddia etti.
Android Central tarafınca gösterilen bir habere bakılırsa, güvenlik araştırmacısı Paul Moore, Eufy Doorbell Dual kameranın surat , sima ,çehre tanıma verilerini şifreleme olmadan firmanın AWS bulutuna yüklediğini keşfetti. firma ise degisecek koruma yönetmeliğine tam olarak uyduğunu ve toplanan verilerin yalnızca bildirimler için kullanıldığını söylüyor.
Moore, gönderilmiş olduğu bir tweet serisinde, verilerin, görüntüleri çekilen kişileri tanımlamak için kullanılabilecek kullanıcı adları ve öteki bilgilerle beraber saklandığını iddia ediyor. bundan farklı olarak, kullanıcı verileri Eufy uygulamasından sildiğinde bile Eury’nin verileri saklamış olduğu iddiası kelam konusu.
.@EufyOfficial – Couple of Q’s
Why is my “local storage” #doorbellDual storing every face, without encryption, to your servers?
Why can I stream my camera without #authentication?!
But crucially, is this really the AES key for my video footage? Please tell me it’s not. pic.twitter.com/uV70koBjLk
— Paul Moore (@Paul_Reviews) November 21, 2022
bundan farklı olarak Moore, video akışına bir web tarayıcısı vasıtasıyla, yalnızca doğru URL’yi bilerek ve gizyazı gerektirmeden erişilebileceğini söylüyor.
Haberin yayınlanmasından sonrasında şirket “çeşitli problemleri” düzelttiğini söylemiş olsa da, daha çok izahat yapmadığı için probleminin devam edip etmediğini doğrulamak olanaksız.
Ondan sonra Moore “Ne yazık ki (ya da nazar açınıza bakılırsa her neyse ki), Eufy ağ aramasını çoktan kaldırdı ve diğerlerini algılamayı hemen hemen olanaksız hale ulaştırmak için ağır bir halde şifreledi; bu yüzden daha evvelki PoC’lerim [kavram açıklarının kanıtı] bundan böyle çalışmıyor. Gösterilen yükleri kullanarak belirli uç noktayı manuel olarak arayabilirsiniz, bu da tekrar de bir netice verebilir” diye ilave etti.
Eufy ise ürünlerinin “ISO 27701/27001 ve ETSI 303645 sertifikaları iç oluş suretiyle Umumi Degisecek Koruma Yönetmeliği (GDPR) standartlarına tam uyum gösteren” bulunduğunu söylüyor.
