Этот ведущий бренд камер безопасности может загружать фотографии в облако без вашего ведома
вычисления techradar.com Новости

Этот ведущий бренд камер безопасности может загружать фотографии в облако без вашего ведома

1 декабря 2022 г.

Исследователь безопасности заявил, что Eufy камеры видеонаблюдения загружают фотографии, содержащие персональные данные, на его серверов, нарушив не только свое собственное ключевое торговое предложение, но и Общий регламент ЕС по защите данных (GDPR).

Согласно отчету Android Central, исследователь безопасности Пол Мур обнаружил, что камера Eufy Doorbell Dual загружает данные распознавания лиц в облако AWS компании без шифрования.

С другой стороны, компания заявляет, что полностью соблюдает правила защиты данных и что собранные данные используются только для уведомлений.

Соответствует GDPR?

В твитах Мур заявил, что данные хранятся вместе с именами пользователей и другими информация, которая может быть использована для идентификации людей, чьи изображения были сделаны. Более того, по его словам, Eury сохраняет данные, даже когда пользователь удаляет их из приложения Eufy.

Мур также сказал, что доступ к видеопотоку можно получить через веб-браузер, просто зная правильный URL-адрес и не требуя паролей. По его словам, видео с камеры, зашифрованное с помощью AES 128, использует простой ключ, который относительно легко взломать.

После публикации новостей компания утверждает, что исправила «некоторые проблемы», но не более прозрачна, поэтому проверить, сохраняется ли проблема, невозможно.

"К сожалению (или к счастью, как ни посмотри), Eufy уже удалил сетевой вызов и сильно зашифровал другие, чтобы сделать его почти невозможным для обнаружения; поэтому мои предыдущие PoC [доказательство концепции эксплойтов] больше не работают. может вызвать конкретную конечную точку вручную, используя показанные полезные данные, которые все равно могут возвращать результат», Позже Мур добавил. 

Eufy, с другой стороны, сообщила изданию, что ее продукты «полностью соответствуют стандартам Общего регламента по защите данных (GDPR), включая сертификаты ISO 27701/27001 и ETSI 303645». Проблема, похоже, заключается в том, что пользователь решает, что ему нужны миниатюры со своими уведомлениями.

ПОДРОБНЕЕ

> Посмотрите наш список лучших систем домашней безопасности
<сильный>
> Как настроить систему видеонаблюдения для дома

> Выполнить камеры домашней безопасности вторгаются в вашу личную жизнь?

Уведомления с камеры по умолчанию являются текстовыми, то есть миниатюры не загружаются, если, как в случае с Moore, пользователи не включили эту функцию вручную.

Eufy также сообщил, что эскизы «временно» загружаются на его серверы, прежде чем отправляться в качестве уведомления. Кроме того, компания заявила, что ее методы push-уведомлений «соответствуют стандартам Apple Push Notification и Firebase Cloud Messaging» и автоматически удаляются. Когда именно, не сообщается.

Миниатюры также используют шифрование на стороне сервера, добавила компания, заявив, что они не должны быть видны неавторизованным пользователям.

"Хотя наше приложение Eufy Security позволяет пользователям выбирать между текстовыми push-уведомлениями и уведомлениями в виде эскизов, не было ясно, что выбор уведомлений на основе эскизов потребует кратковременного размещения изображений предварительного просмотра в облаке. , Это отсутствие связи было недосмотром с нашей стороны, и мы искренне извиняемся за нашу ошибку», — заключила компания.

В дальнейшем Eufy заявляет, что изменит язык опций push-уведомлений, а также использование облака для push-уведомлений.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE