Se você tiver uma câmera de segurança Eufy, essas câmeras seguras podem não ser tão seguras quanto parecem.
Se você gosta de segurança, pode ter investido em segurança doméstica por meio de uma câmera Eufy. Essas câmeras, embora caras, são especiais porque prometem nunca armazenar imagens remotamente, servidores baseados em nuvem, operando ponto a ponto, a menos que você deseje pagar pelo armazenamento em nuvem separadamente. No entanto, Paul Moore, pesquisador de segurança, descobriu que miniaturas e rostos estão sendo armazenados em servidores Eufy. Eufy é uma empresa de propriedade da Anker.
Moore mostrou em um vídeo do YouTube como, mesmo quando seu Eufy Homebase 2 está desligado, ele pode ver uma miniatura de uma gravação de câmera armazenada nos servidores do Eufy. Da mesma forma, também podem ser vistos rostos que foram identificados nas filmagens, e estes também são armazenados em servidores AWS controlados pela Eufy. Essas imagens parecem ser excluídas após 24 horas, mas permanece o fato de que consumidores como Moore se sentem enganados. Dado que a Eufy afirma frequentemente que a privacidade é o cerne da sua operação, é compreensível que Moore (e outros consumidores) se sintam assim.
A citação abaixo foi retirada de uma descrição de produto Eufy na Amazon.
Sua privacidade é algo que valorizamos tanto quanto você. Para começar, estamos tomando todas as medidas imagináveis para garantir a privacidade dos seus dados, com você. Quer seja o seu recém-nascido chorando pela mãe ou a sua dança da vitória depois de um jogo, as imagens gravadas serão mantidas em sigilo. Armazenado localmente. Com criptografia de nível militar. E transmitido para você, e somente para você. Isso é apenas o começo do nosso compromisso de proteger você, sua família e sua privacidade.
Moore também demonstrou como essas imagens são mantidas nesses servidores controlados pela Eufy mesmo depois que a filmagem é excluída. Ainda mais alarmante é que ele falou sobre como era possível visualizar um fluxo de protocolo de mensagens em tempo real (RTMP) de sua câmera sem qualquer autenticação. Ele não esclareceu se era possível a partir de uma rede externa, ou se alguém precisaria estar na mesma rede da câmera para acessar esse stream. Ele admitiu que não mostrou evidências do recurso, embora tenha dito que isso se devia ao perigo potencial de tal vulnerabilidade ser demonstrada publicamente.
Para piorar a situação, Moore afirmou que os vídeos foram armazenados criptografados usando uma chave de segurança codificada de "ZXSecurity17Cam@", que ele verificou que os descriptografou localmente. eu encontrei um repositório GitHub não oficial para uma biblioteca Python de 2019 para dispositivos Eufy que faz referência à mesma chave de criptografia, sugerindo que este é o caso de várias câmeras Eufy que estão por aí.
Eufy responde
Moore já havia entrado em contato com Eufy e compartilhado sua resposta no Twitter. No e-mail, a empresa confirmou que estava armazenando essas imagens em seus servidores, e apontou o prazo de validade de 24 horas. A empresa disse que adicionaria criptografia adicional às suas APIs e ofereceu a Moore a capacidade de testar seu dispositivo Homebase 3.
Quanto ao significado de tudo isso, é difícil fazer qualquer julgamento geral da situação até que se chegue a uma conclusão. Entramos em contato com ambos os lados da conversa e até agora ainda não recebemos resposta. Também não esperamos necessariamente receber uma resposta, já que Moore disse que conversou com o departamento jurídico da empresa e não fará mais comentários no momento.
O que fazer com seus produtos Eufy
Se você possui produtos Eufy e está preocupado do ponto de vista da privacidade, pode valer a pena desconectá-los para esperar e ver o que acontece a seguir. Não está claro o que exatamente a Eufy está fazendo e, sem mais comentários dos envolvidos, é difícil dizer até que ponto os consumidores precisam se preocupar. Parece claro que muitos consumidores se sentem enganados, mas até que ponto não está claro neste momento.
Teremos certeza de atualizar à medida que o caso se arrasta e esperamos que a Eufy divulgue uma declaração em um futuro próximo, na tentativa de dissipar as preocupações que os consumidores possam ter.