Microsoft deshabilitara la autenticacion de la vieja escuela para

Un investigador de seguridad afirmó que las cámaras de seguridad de Eufy suben fotos que contienen datos de identificación personal a sus servidores, violando no solo su propia propuesta clave de venta, sino también el Reglamento General de Protección de Datos (RGPD) de la UE.

Según un informe de Android Central (se abre en una pestaña nueva), el investigador de seguridad Paul Moore descubrió que la cámara Eufy Doorbell Dual carga datos de reconocimiento facial en la nube AWS de la empresa, sin cifrado.

La empresa, por otro lado, afirma que cumple totalmente con la normativa de protección de datos y que los datos recopilados solo se utilizan para notificaciones.

¿Cumple con el RGPD?

En una serie de tuits (se abre en una nueva pestaña), Moore afirmó que los datos se almacenaron junto con los nombres de usuario y otra información que podría usarse para identificar a las personas cuyas imágenes se tomaron. Además, Eury conserva los datos incluso cuando el usuario los elimina de la aplicación Eufy, afirma.

Moore también dijo que se podía acceder a la fuente de video a través de un navegador web, simplemente conociendo la URL correcta, sin necesidad de contraseña. Los videos de cámara encriptados con AES 128 usan una clave simple que se puede descifrar con relativa facilidad, dijo.

Desde que se dio a conocer la noticia, la compañía afirma haber solucionado «algunos de los problemas», pero no es más transparente que eso, por lo que es imposible verificar si el problema persiste.

«Desafortunadamente (o afortunadamente, se mire como se mire), Eufy ya eliminó la llamada de la red y encriptó fuertemente las demás para que sea casi imposible de detectar; así que mis PoC anteriores [proof of concept exploits] ya no funciona. Es posible que pueda llamar manualmente al punto final específico utilizando las cargas útiles que se muestran, lo que aún puede arrojar un resultado”, agregó Moore más tarde.

Eufy, por otro lado, dijo a la publicación que sus productos «cumplen con los estándares del Reglamento General de Protección de Datos (RGPD), incluidas las certificaciones ISO 27701/27001 y ETSI 303645». El problema parece ser cuando un usuario decide que quiere miniaturas con sus notificaciones.

Las notificaciones de la cámara son solo de texto de manera predeterminada, lo que significa que no se descargan miniaturas a menos que, como fue el caso de Moore, los usuarios habiliten la función manualmente.

Eufy también dijo que las miniaturas se cargan «temporalmente» en sus servidores, antes de enviarse como una notificación. Además, la compañía dijo que sus prácticas de notificaciones automáticas «cumplen con el Servicio de notificaciones automáticas de Apple y los Estándares de mensajería en la nube de Firebase» y se borran automáticamente. No dijo cuándo.

Las miniaturas también usan encriptación del lado del servidor, agregó la compañía, diciendo que no deberían ser visibles para usuarios no autorizados.

«Si bien nuestra aplicación Eufy Security permite a los usuarios elegir entre notificaciones automáticas basadas en texto o basadas en mosaicos, no se especificó que elegir notificaciones basadas en mosaicos requeriría que las imágenes de vista previa se alojaran brevemente en la nube. Esta falta de comunicación fue un descuido de nuestra parte y nos disculpamos sinceramente por nuestro error”, concluyó la compañía.

En el futuro, Eufy dice que cambiará el idioma de la opción de notificación automática, así como el uso de la nube para las notificaciones automáticas.

Share This