בין שלל מותגי המשנה של אנקר (Anker) אפשר למצוא את Eufy, מותג הבית החכם ופתרונות האבטחה של החברה, המציעה בין השאר מצלמות אבטחה שמבטיחות לשמור על פרטיות המידע של המשתמשים, כל עוד אף אחד לא באמת בודק אותה.
אחרי שחוקר אבטחה מצא כי סרטונים מתוך מצלמות האבטחה של החברה נגישים דרך חיבור לא מאובטח והמצלמה אף משדרת מידע לשרתי החברה, במקום לתקן את הליקויים, החברה פשוט הסירה את ההבטחה לפרטיות מעמוד המוצר שלה.
המקרה הנוכחי ב-Eufy צפוי לשמש בעבור רבים כדוגמה כיצד חברת אבטחה לא אמורה לנהוג במקרה בו משתמשים מגלים כי הפרטיות שהובטחה להם איננה קיימת. האירוע התחיל עם פרסום של חוקר האבטחה פול מור (Paul Moore) בסוף נובמבר, לפיו בניגוד להבטחה של Eufy, הצילומים ממצלמות האבטחה של החברה אינם נשמרים באופן מקומי בלבד אלא משודרים גם לשרתי החברה, זאת בנוסף לעובדה כי ניתן לגשת באופן לא מאובטח לוידאו המשודר.
בעוד שהחברה ניסתה לטעון כי השידורים בין המצלמות לשרתי החברה נועדו על מנת לשלוח למשתמשים התראות על פעילות עם צילומים של האירוע, דבר שעוד יכול להיחשב “לגיטימי”, העובדה כי בניגוד לטענות החברה שצילומי הוידאו מוצפנים “ברמה צבאית” ונגישים דרך האפליקציה שלהם בלבד, ניתן היה לגשת אליהם בצורה פשוטה עם נגן ה-VLC הפופולרי.
You have some serious questions to answer @EufyOfficial
Here is irrefutable proof that my supposedly "private", "stored locally", "transmitted only to you" doorbell is streaming to the cloud – without cloud storage enabled.#privacyhttps://t.co/u4iGgkWkJB
— Paul Moore – Security Consultant (@Paul_Reviews) November 23, 2022
רובנו היינו מניחים כי החברה הייתה יוצאת בהצהרות כי הממצאים לא נכונים ומתקנת את בעיות האבטחה שאותרו, אך בפועל החברה עשתה לאחרונה את הצעד הגרוע ביותר שאפשר למעשה לדמיין ופשוט העלימה את ההבטחות לפרטיות מעמוד המוצר שלה.
אי אפשר לטעון שמצלמת האבטחה שלכם שומרת על הפרטיות אם לא אמרו את זה, נכון? אז החברה הסירה אוסף נקודות מתיאור הפרטיות שלהם (בתרגום חופשי לעברית), ואלה הן:
- בתור התחלה, אנחנו נוקטים בכל צעד שאפשר להעלות על הדעת כדי להבטיח שהנתונים שלך יישארו פרטיים.
- הצילומים המוקלטים שלך יישמרו פרטיים. באחסון מקומי, עם הצפנה ברמה צבאית. וישלחו אליך ואליך בלבד.
- כאן ב-eufy, אנחנו לא רק מדברים ולא עושים דבר.
- עם אחסון מקומי מאובטח, הנתונים הפרטיים שלך לעולם אינם עוזבים את הבטיחות של הבית שלך, ונגישים רק לך.
- כל הצילומים המוקלטים מוצפנים במכשיר ונשלחים ישירות לטלפון שלך – ורק לך יש את המפתח לפענוח וצפיה בצילומים. המידע עצמו משודר באופן מוצפן.
- אין שום קישור מקוון זמין לסרטון כלשהו.
- עליך להשתמש בתוכנת וחשבון ה-Eufy שלך בכדי לפענח ולצפות הסרטונים. אף אחד אחר אינו יכול לגשת או לקרוא את הנתונים האלה.
- לעיניך בלבד.
- הצצה אסורה.
- הכל בבית.
אחד הדברים המינימליים להם מצפים משתמשים מחברות אבטחה הוא לשמור על פרטיות המידע שלהם ולכל הפחות לא לשקר על רמת האמינות והפרטיות של המוצרים שלהם, דבר אותו Eufy נכשלה לעשות לאחר שינוי תיאור הפרטיות של מוצרי החברה.
