Violación de la privacidad: Eufy admite errores

Eufy, propiedad de Anker, finalmente se pronuncia después de las revelaciones de que sus cámaras de seguridad supuestamente solo locales estaban usando la nube sin informar claramente a los usuarios. En una larga publicación en el foro de su comunidad, Eufy admitió, después de semanas de silencio, que necesitaba ser más claro sobre qué procesos se realizan localmente y cuáles requieren el uso de su servidor seguro de AWS. La empresa también reconoce que necesita informar a sus usuarios de manera más directa y oportuna. “En el futuro, tendremos que asegurarnos de responder más rápidamente a nuestra obligación de informar a nuestros clientes, ya que tenemos información verificada sobre lo que realmente está sucediendo”, dijo Eufy.

La compañía también admitió que una función de visualización en vivo en su portal web tenía una falla de seguridad, que corrigió impidiendo que los usuarios vean o compartan transmisiones en vivo desde sus cámaras Eufy sin iniciar sesión en el portal web anterior de Eufy. El fabricante negó que la falla expusiera los datos del usuario, aunque prometió seguir buscando formas de mejorar esta funcionalidad. Pero Eufy no respondió directamente a los artículos explosivos de The Verge y otros como el investigador de seguridad Paul Moore, quien logró publicar imágenes de video sin cifrar de las cámaras de seguridad de Eufy. utilizando el reproductor multimedia VLC. Eufy simplemente dijo que las posibles fallas de seguridad discutidas en línea son especulativas.

El acuerdo de confidencialidad discretamente modificado

No obstante, Eufy reconoció que debería ser más claro acerca de todos los datos que se envían a la nube, en particular, cuando las notificaciones automáticas opcionales en los teléfonos envían imágenes de vista previa al servidor web de Amazon de Eufy. Eufy dijo que estas imágenes de vista previa estaban protegidas con cifrado de extremo a extremo y se eliminaron poco después de la notificación automática inicial, pero el texto revisado en la aplicación Eufy que notificaba el uso de la nube de AWS no era suficiente. "Esta es un área en la que nuestros equipos de marketing y comunicaciones deberán mejorar, y que se agregará a nuestro sitio web, políticas de privacidad y otros materiales de marketing", dijo Eufy en un comunicado, que termina sin una disculpa completa y sin más comentarios.

Esta conmoción de Eufy estalló a fines del mes pasado después de que un investigador de seguridad afirmara que podía acceder a una miniatura de una grabación de un evento de video de su timbre Eufy Doorbell Dual, así como a fotos de rostros reconocidos en el clip, en los servidores AWS de Eufy, cuando había desactivado el acceso a la nube del timbre. The Verge verificó las afirmaciones del investigador y reveló que logró transmitir el video desde una cámara Eufy, en el otro lado del país, sin ningún tipo de encriptación. Poco después de la publicación de estos informes, Eufy cambió silenciosamente su página web de Compromiso de privacidad, eliminando alrededor de una docena de promesas de seguridad, aclarando otras y agregando información sobre el uso de Eufy del almacenamiento en la nube de AWS.