Varumärket Eufy är företaget Ankers gren av smarta produkter, där bland annat flera uppsättningar nätverkskameror för övervakning går att återfinna. Det finns både mer klassiska varianter och modeller särskilt anpassade för att hålla ett vakande öga på sina barn eller husdjur. Kamerorna ansluts mot internet och kontrolleras över en applikation i exempelvis telefonen, likt många andra varianter på marknaden.
Under gårdagen rapporterade flertalet användare en mycket allvarlig säkerhetsbrist på både Ankers eget forum och forumet Reddit. Hundratals kommentarer från användare vittnar om att de trots att de var inloggade på sina egna konton kunde se andra personers videoströmmar, inspelningar och i vissa fall även personuppgifter.
En majoritet av användare i kommentarsfälten är baserade i Nya Zeeland, Australien eller USA och användare som anslutit sina enheter genom Apples plattform Homekit kommenterar att de inte ser ut att ha påverkats.
Due to a software bug during our latest server upgrade at 4:50 AM EST today, a limited number (0.001%) of our users were able to access video feeds from other users’ cameras. Our engineering team recognized this issue at around 5:30 AM EST, and quickly got it fixed by 6:30AM EST. The issue affected users at a small rate in the United States, New Zealand, Australia, Cuba, Mexico, Brazil, and Argentina. Users in Europe remain unaffected.
I ett uttalande till Engadget informerar Eufy om att det är ett mjukvarufel som exponerat användares kameror och uppgifter, som skett efter deras senaste serveruppgradering. De rapporterar att endast 0,001 procent av alla användare drabbats och endast från USA, Nya Zeeland, Australien, Kuba, Mexiko, Brasilien och Argentina.
Our customer service team will continue contacting those who were affected. Eufy Baby Monitors, eufy Smart Locks, eufy Alarm System devices and eufy PetCare products remain unaffected. We realize that as a security company we didn’t do good enough. We are sorry we fell short here and are working on new security protocols and measures to make sure that this never happens again.
Enligt Eufy ska påverkade användare kontaktas av deras kundtjänstavdelning. Läckan ska inte ha inkluderat deras babymonitorer, låssystem, hemlarm eller produkter för husdjur. Eufy avslutar sedan med en ursäkt och lovar bättring, men företagets uttalande lämnar en del att önska.
Trots att mjukvarufelet orsakat en säkerhetsbrist som är svår att se som annat än mycket integritetskränkande är informationen från Eufys sida mycket kortfattad. Den lösning de presenterar på sin webbplats och Twitter går ut på att användare ska starta om basstation och kameror, samt logga ut och logga in igen från sina användarkonton. Hur eller varför det löser problemet förklaras inte.
Även om Eufy angett vilka regioner av användare som påverkats och vilka enheter som inte ska ha utsatts är det mer eller mindre också allt de säger. De talar om att användare fått tillgång till varandras videoströmmar, men bekräftar varken rapporterna om att användare sett andras redan inspelade material eller att personuppgifter hamnat i obehörigas händer.
Det saknas även information kring huruvida användare bör vidta ytterligare säkerhetsåtgärder som exempelvis lösenordsbyte efter incidenten och huruvida användare som anslutit via Homekit har påverkats. Från kommentarsfält på sociala medier och forum anklagas Eufy för att inte ta problemet på allvar och bristen på information kritiseras hårt av upprörda användare.
SweClockers informerades om händelsen av säkerhetsutbildaren Karl Emil Nikka som i nuläget också riktar kritik mot Eufys bristande information.
Att beskriva en allvarlig autentiseringsbrist som en bugg är visserligen inte fel men det är att förminska incidentens dignitet. Vi pratar om privatpersoner som har kunnat titta in i varandras hem. Det enda som gör situationen något lindrigare är att ingen verkar ha kunnat välja att komma åt specifika användares kameror. Vi vet inte exakt vad den så kallade buggen berodde på eller hur den kunde ge åtkomst till fel användares kameror. Eufy behöver vara tydliga med hur de har byggt och hur de kommer förbättra sin tjänst ifall de vill återfå förtroendet. – Karl Emil Nikka, Säkerhetsutbildare och grundare av Nikka Systems
Den här gången påverkades inte användare i Europa, åtminstone enligt Eufy själva, men liknande läckor har hänt tidigare hos andra molnbaserade tjänster. Han förklarar även att det finns två sätt att skydda sig mot problem som dessa. Antingen genom att uteslutande använda end-to-end-krypterade molnlösningar eller genom att bygga och sköta sitt eget system, vilket medför andra säkerhetsutmaningar, särskilt om systemet ska vara åtkomligt över internet.
Då pratar vi inte bara integritetsproblem utan också risken för att kamerorna kapas och blir del av botnät. Själva inspelningen blir också mer komplicerad eftersom den inte får förloras av att strömmen går eller att tjuven tar med sig hårddisken. För tekniknördarna här på Sweclockers är det säkert inga problem att lösa, men både kunskapen och viljan att underhålla lösningen måste finnas. – Karl Emil Nikka, Säkerhetsutbildare och grundare av Nikka Systems
I skrivande stund, snart ett dygn efter händelsen, har det fortfarande inte framkommit någon ny information från Eufy eller Ankers sida. SweClockers har tillsammans med Nikka Systems sökt Eufy för en kommentar utan att få svar.
