Eufy

Suite à un bug, certains utilisateurs des caméras de surveillance Eufy ont eu accès aux flux vidéo d'autres personnes.

En se connectant sur l'application pour contrôler leurs caméras de surveillance, certains utilisateurs se sont rendu compte qu'ils n'étaient pas sur leur compte, mais sur celui d'une autre personne, avec un accès à toutes ses informations. Un bug corrigé rapidement, mais qui a provoqué une véritable panique.

Mise à jour du 20 mai 2021 : réponse d'eufy

Lors d’une mise à jour de notre serveur aux États-Unis, un bug a affecté 712 utilisateurs dans des pays hors de l'Europe. Le problème a été corrigé une heure après avoir été identifié. Toutes les données vidéo de nos utilisateurs sont stockées localement sur les appareils. Eufy assure la gestion des comptes, la gestion des appareils et l’accès P2P à distance pour les utilisateurs via des serveurs AWS. Toutes les données stockées et les informations personnelles sont cryptées. Pour éviter d’autres incidents, nous prenons les mesures suivantes :

  1. Mise à niveau de l’architecture réseau et renforcement du mécanisme d’authentification bidirectionnelle entre les serveurs, les appareils et l’application eufy Security.
  2. Mise à niveau des serveurs pour améliorer leur capacité de traitement et éliminer les risques potentiels.
  3. Certifications de sécurité TUV et BSI Privacy Information Management System (PIMS).

Nous sommes désolés de cet incident et nous comprenons que nous devons rétablir la confiance avec nos clients. Merci de nous faire confiance pour votre sécurité.

Une brèche de sécurité importante

C'est sur Reddit que l'alerte a été donnée, avec plusieurs usagers de Nouvelle-Zélande et d'Australie rapportant qu'ils avaient accès aux caméras de surveillance d'autres personnes dans d'autres pays, notamment aux Etats-Unis.

En plus de pouvoir voir les flux vidéo d'inconnus, les personnes affectées par le bug pouvaient contrôler les mouvements de la caméra, voir des enregistrements vidéos, en enregistrer eux-mêmes mais aussi accéder aux détails personnels des utilisateurs, comme leur nom, leur adresse ou les détails de leur réseau.

Une importante brèche de sécurité qui a légitimement fait paniquer les utilisateurs sur Reddit, plusieurs s'inquiétant pour leur vie privée et celle de leurs proches. L'autre risque soulevé était celui de voir des clients se faire menacer, voire extorquer, avec des vidéos filmées à leur insu et en utilisant leurs informations personnelles.

Un bug lors d'une mise à jour d'un serveur

Eufy a fini par communiquer sur le bug, indiquant qu'il s'était produit lors d'une mise à jour planifiée de leur serveur. Ils ont également indiqué avoir été mis au courant de son existence au bout de 40 minutes et l'avoir corrigé une heure après. Pour retrouver l'accès à leurs propres flux, les utilisateurs devaient débrancher et rebrancher leurs caméras ainsi que se déconnecter et se reconnecter sur l'application.

La compagnie a indiqué à 9to5Mac que le bug avait touché 0,001% de ses clients situés aux Etats-Unis, en Nouvelle-Zélande, en Australie, en Argentine, à Cuba, au Brésil et au Mexique. Il semblerait donc, d'après Eufy, que les utilisateurs européens n'aient pas été concernés. Mais il reste tout de même plus prudent de réaliser les étapes conseillées par l'entreprise pour s'assurer que ses caméras sont à jour.

Source : The Record