Un investigador de seguridad ha afirmado que las cámaras de seguridad de Eufy están cargando fotos que contienen datos de identificación personal en sus servidores, violando no solo su propia propuesta de venta clave, sino también el Reglamento General de Protección de Datos (RGPD) de la UE.
Según un informe de Central de Android (se abre en una pestaña nueva)el investigador de seguridad Paul Moore descubrió que la cámara Eufy Doorbell Dual carga datos de reconocimiento facial en la nube de AWS de la empresa, sin cifrado.
La compañía, por otro lado, dice que cumple totalmente con la regulación de protección de datos y que los datos recopilados solo se utilizan para notificaciones.
¿Cumple con el RGPD?
en un serie de tuits (se abre en una pestaña nueva)Moore afirmó que los datos se almacenaban junto con los nombres de usuario y otra información que podría usarse para identificar a las personas cuyas imágenes fueron tomadas. Además, Eury conserva los datos incluso cuando el usuario los elimina de la aplicación Eufy, afirma.
Moore también ha dicho que se puede acceder a la transmisión de video a través de un navegador web, simplemente conociendo la URL correcta, sin necesidad de contraseñas. Los videos de cámara encriptados con AES 128 usan una clave simple que se puede descifrar con relativa facilidad, dijo.
Desde que se dio a conocer la noticia, la compañía afirma haber solucionado «algunos de los problemas», pero no está siendo más transparente que eso, por lo que es imposible verificar si el problema continúa.
«Desafortunadamente (o afortunadamente, como se mire), Eufy ya eliminó la llamada de la red y encriptó fuertemente otras para que sea casi imposible de detectar; así que mis PoC anteriores [proof of concept exploits] no más trabajo. Es posible que pueda llamar al punto final específico manualmente utilizando las cargas útiles que se muestran, lo que aún puede arrojar un resultado”, agregó Moore más tarde.
Eufy, por otro lado, dijo a la publicación que sus productos «cumplen totalmente con los estándares del Reglamento General de Protección de Datos (RGPD), incluidas las certificaciones ISO 27701/27001 y ETSI 303645». El problema parece ser cuando un usuario decide que quiere miniaturas con sus notificaciones.
Las notificaciones de la cámara son solo de texto de forma predeterminada, lo que significa que no se cargan miniaturas a menos que, como fue el caso de Moore, los usuarios habiliten la función manualmente.
Eufy también dijo que las miniaturas se cargan «temporalmente» en sus servidores, antes de enviarse como una notificación. Además, la compañía dijo que sus prácticas de notificaciones automáticas «cumplen con el servicio de notificaciones automáticas de Apple y los estándares de mensajería en la nube de Firebase» y se eliminan automáticamente. No dijo cuándo.
Las miniaturas también utilizan encriptación del lado del servidor, agregó la compañía, diciendo que no deberían ser visibles para usuarios no autorizados.
«Aunque nuestra aplicación Eufy Security permite a los usuarios elegir entre notificaciones automáticas basadas en texto o en miniaturas, no quedó claro que elegir notificaciones basadas en miniaturas requeriría que las imágenes de vista previa se alojaran brevemente en la nube. Esa falta de comunicación fue un descuido de nuestra parte y nos disculpamos sinceramente por nuestro error”, concluyó la compañía.
En el futuro, Eufy afirma que cambiará el idioma de la opción de notificación automática, así como el uso de la nube para las notificaciones automáticas.