Kamera Eufy Miliki Masalah, Unggah Foto ke Cloud Tanpa Izin Pengguna

Cyberthreat.id – Tahu kamera Eufy Security?

Eufy Security adalah sebuah perusahaan peralatan smart home dan perangkat keamanan, seperti kamera pengintai atau bel pintu berkamera.

Perusahaan dimiliki oleh Anker Innovations Co.,Ltd, produsen elektronik yang berkantor pusat di Changsa, Hunan.

Baru-baru ini, dalam serangkaian tweet, peneliti keamanan siber asal Inggris, Paul Moore, menemukan beberapa kelemahan keamanan di kamera Eufy.

“Gambar pengguna dan data pengenalan wajah (facial recognition) diunggah ke cloud tanpa izin pengguna dan feed kamera langsung (live camera) bisa diakses tanpa autentikasi/verifikasi,” tutur Moore dikutip dari Android Central, diakses Senin (5 Desember 2022).

Memang sebagian masalah itu telah ditambal oleh perusahaan, tapi dirinya tak bisa memverifikasi apakah data yang tersimpan di cloud telah dihapus dengan benar atau belum.

Karena temuan itu, Moore juga telah mengambil langkah hukum terhadap Eufy karena sangkaan pelanggaran UU Pelindungan Data Pribadi Eropa (GDPR).

Selama ini, Eufy membanggakan diri bahwa perusahaan melindungi privasi pengguna, yaitu hanya menyimpan video dan data relevan saja secara lokal. Tapi, temuan Moore tersebut menunjukkan bahwa klaim keamanan itu masih dipertanyakan.

Bahkan, Moore mendapatkan beberapa kamera Eufy mengunggah foto, citra pengenalan wajah, dan data pribadi lain ke peladen cloud.

Moore meneliti pada Eufy Doorbell Dual Camera. Data-data yang ditemukan itu diunggah ke cloud AWS Eufy tanpa dienkripsi.

Lebih lanjut, ia mengatakan video dari kamera itu bahkan bisa dialirkan melalui peramban web dengan memasukkan URL yagn benar dan tak ada otentifikasi apa pun untuk melihat video.

Temuan Moore juga ditambahkan oleh laporan The Verge, media online teknologi, yang juga mendapati cara untuk streaming video yang tak terenkripsi dari kamera Eufy, bahkan streaming itu bisa melalui aplikasi VLC gratis tanpa otentikasi. Hanya, akses video itu tidak bisa dilakukan jika kamera dalam kondisi tidur, sehingga perlu dibangunkan—bisa oleh deteksi gerakan atau perekaman.

Moore juga menunjukkan bukti bahwa video dari kamera Eufy yang dienkripsi dengan enkripsi AES 128 hanya dilakukan dengan kunci sederhana, bukan string acak yang tepat –sesuatu yang akan mudah diretas.

Namun, saat ini, alamat yang digunakan untuk melihat streaming kamera telah disembunyikan dari aplikasi dan antarmuka web, tulis Android Central.

Jika alamat itu dipublikasikan, untuk masuk hanya memerlukan nomor seri kamera Anda yang dikodekan di Base64, sesuai investigasi The Verge.

Eufy mengeluarkan pernyataan terbaru pada 2 Desember.

"Eufy Security dengan tegas tidak setuju dengan tuduhan yang dilontarkan terhadap perusahaan terkait keamanan produk kami,” kata Eufy.

“Namun, kami memahami bahwa peristiwa baru-baru ini mungkin menimbulkan kekhawatiran bagi beberapa pengguna. Kami sering meninjau dan menguji fitur keamanan kami dan mendorong umpan balik dari keamanan yang lebih luas industri untuk memastikan kami mengatasi semua kerentanan keamanan yang kredibel.”

“Jika kerentanan yang kredibel teridentifikasi, kami mengambil tindakan yang diperlukan untuk memperbaikinya. Selain itu, kami mematuhi semua badan pengatur di pasar tempat produk kami dijual. Terakhir, kami mendorong pengguna untuk menghubungi tim dukungan pelanggan khusus kami jika ada pertanyaan."[]