Privacylek bij Eufy-camera’s: vreemden konden live meekijken

Update 18 mei 2021: Volgens een verklaring aan de Duitse website Macerkopf zou het gaan om een server-upgrade, waardoor “een beperkt aantal gebruikers” is getroffen. Eufy spreekt van 0,001% van de gebruikers. Een uur na de ontdekking zou het probleem alweer zijn opgelost.

Due to a software bug during our last server upgrade today at 4:50 AM EST, a limited number (0.001%) of our users were able to access video feeds from other users’ cameras. Our development team recognized this problem around 5:30 AM EST and was able to fix it quickly by 6:30 AM EST.

Gebruikers in Australië, Nieuw-Zeeland, Australië, Cuba, Mexico, Brazilië, Argentinië en de Verenigde Staten hadden met het probleem te maken. In Europa deed het probleem zich niet voor, vermoedelijk omdat de beelden vanwege privacyregels op aparte servers worden opgeslagen. Ook deed het probleem zich niet voor op de babyfoons, slimme sloten, alarmsystemen en huisdierproducten. Eufy biedt excuses aan voor het gebeuren en belooft de beveiligingsprotocollen te verbeteren, zodat het niet meer gebeurt.

Voor mensen die gebruik maken van HomeKit Secure Video is er ook goed nieuws: zij kregen geen beelden van vreemde mensen te zien. Gebruik je echter HSV en de Eufy-app naast elkaar, dan ligt het uiteraard anders. De beelden die bij iCloud worden opgeslagen zijn in ieder geval niet door anderen te zien.

Heb je een router met HomeKit-ondersteuning, dan kun je ook zorgen dat je accessoires geen toegang tot internet hebben.

Update 18:45 uur: Hieronder lees je de officiële reactie van Eufy, die het bedrijf ons ook per e-mail heeft toegestuuurd. Het privacylek zou zijn veroorzaakt door een serverbug. Die zou sindsdien zijn gefixt. De verklaring leidde tot nogal wat kritiek, omdat het bedrijf geen details geeft wat er werkelijk aan de hand was. Een vage verwijzing naar een ‘bug’ maakt niet duidelijk hoe het kon dat anderen zomaar beelden van wildvreemden te zien kregen en versterkt niet het vertrouwen in het bedrijf.

Dear eufy Security Users:
A software bug occurred during our latest server upgrade at 4:50 AM EST today. Our engineering team recognized this issue at around 5:30 AM EST, and quickly got it fixed by 6:30AM EST.

We recommend that all users:

• Please unplug and then reconnect the device.
• Log out of the eufy security app and log in again.

For any questions, users can contact our support team at support@eufylife.com.

Hieronder volgt ons oorspronkelijke artikel van 17 mei.

Privacylek bij Eufy camera’s

Het probleem werd gemeld op Reddit en bevestigd door meerdere gebruikers. Eén gebruiker meldt dat hij vanuit Nieuw-Zeeland in de app keek en constateerde dat hij camerabeelden te zien kreeg die niet van hemzelf waren. Het zou gaan om een andere gebruiker in Australië, waarvan ook contactdetails te zien waren. De betreffende gebruiker heeft drie kleine kinderen en is bang dat anderen ook bij hem kunnen meekijken.

Vreemden konden meekijken en opnames maken

Een andere gebruiker zag dat de hub (de zogenaamde home base) een rood lampje toonde, maar daarna gebeurde er niets. Hij keek vervolgens in de app en zag beelden van andermans deurbel. Gebruikers melden ook dat ze toegang hebben tot alle info in het account van iemand anders, waaronder de live feed. Het was mogelijk om de camera te bedienen, door te draaien en te kantelen. Verder kon deze persoon video’s opnemen met de opnameknop en vervolgens opslaan op de eigen telefoon. Deze camera bevond zich op een heel andere plek op de aardbol, in de tijdzone van Los Angeles. Mensen hebben toegang tot de live feed, historie, gebeurtenissen en dergelijke.

De meeste meldingen komen vanuit Australië en Nieuw-Zeeland, waarbij mensen toegang hebben tot camera’s in de Verenigde Staten. Dat zou echter ook met tijdzones te maken kunnen hebben, omdat in de VS veel mensen nu nog in bed liggen.

Mensen vinden het idee dat ze met anderen kunnen meekijken op zich al eng genoeg, maar vragen zich ook af of hun eigen camera nog wel veilig is. Uitloggen en vervolgens weer inloggen lijkt de oplossing te zijn. In de tussentijd kun je het beste je Eufy-camera uitschakelen.

Anker, fabrikant van de Eufy-camera’s, heeft nog niet gereageerd op het privacylek. Gebruik je Eufy-camera’s in combinatie met HomeKit Secure Video, dan zouden je videobeelden veilig moeten zijn, maar nog helemaal zeker is dit niet.