Eufy, riconoscimento facciale e upload dati su cloud senza consenso dell'utente

Sono emerse accuse decisamente gravi rivolte a Eufy, il brand che fa parte del gruppo Anker che si occupa prevalentemente di videocamere e impianti di sorveglianza. Il ricercatore Paul Moore stava testando il suo nuovo acquisto, il Doorbell Dual, scelto proprio per la grande attenzione a privacy e sicurezza pubblicizzate, ma ha scoperto che le cose non stavano proprio così. In particolare, Moore ha dimostrato che:

• Il dispositivo caricava su un server remoto thumbnail dei video e dati sul riconoscimento del volto anche senza aver mai attivato i servizi cloud di Eufy
• È possibile scaricare immagini catturate dalla videocamera e perfino l'immagine del profilo senza autenticazione se si possiede l'URL diretto. Eufy dice che i dati sono criptati, e sembra che Moore riesca a scaricarle solo perché aveva precedentemente effettuato l'accesso al proprio account Eufy dalla stessa finestra di Chrome (navigazione in incognito).
• Un'altra videocamera Eufy collegata a un altro account è riuscita a riconoscere il volto di Moore con lo stesso codice identificativo unico. Ciò significa che Eufy non solo salva questi dati su cloud, ma li condivide tra i suoi vari account.
• È possibile guardare il feed video in tempo reale della propria videocamera Eufy senza autenticazione alcuna semplicemente usando il giusto indirizzo IP pubblico. Basta inserire l'indirizzo su VLC.
• In determinate circostanze, alcune immagini caricate su cloud sono accessibili anche dopo aver cancellato completamente l'account.