Mise à jour, 19/5/21 11h36 : Eufy nous a répondu avec une déclaration, qui est disponible ci-dessous. Nous communiquons avec l’entreprise pour plus d’informations.
Un bug de sécurité d’Eufy donnait aux utilisateurs un accès complet aux comptes d’inconnus, y compris les flux vidéo en direct, les enregistrements, les commandes de panoramique et de zoom de la caméra, et les informations privées du compte. Eufy affirme avoir résolu le problème, mais suggère à tous les utilisateurs de débrancher et de rebrancher leur caméra et de se déconnecter puis de se reconnecter à l’application Eufy Security. C’est mauvais signe, les amis !
Le bug a été signalé par plusieurs utilisateurs d’Eufy sur Reddit, qui ont constaté qu’ils étaient connectés à des comptes Eufy Security aléatoires. Selon Eufy, le bug s’est produit lors d’une mise à jour du serveur à 4:50 AM EST, ce qui explique pourquoi très peu de personnes aux États-Unis l’ont rencontré. Cependant, de nombreux Australiens qui ont signalé ce bug sur Reddit avaient accès à des comptes Eufy Security aux États-Unis et dans d’autres parties du monde.
Nous avons contacté Eufy pour une déclaration, que vous pouvez lire ici. Nous continuerons à mettre à jour cet article si la société fournit plus d’informations :
Nous avons travaillé en étroite collaboration avec l’équipe d’Eufy pour découvrir ce qui s’est passé et ce que la société va faire ensuite, et voici la mise à jour :
Au cours d’une mise à jour logicielle effectuée sur notre serveur aux États-Unis le 17 mai à 4:50 AM EDT, un bug s’est produit affectant un nombre limité d’utilisateurs aux États-Unis, au Canada, au Mexique, à Cuba, en Nouvelle-Zélande, en Australie et en Argentine. Les utilisateurs d’Europe et des autres régions ne sont pas affectés. Notre équipe d’ingénieurs a identifié le problème à 5h30 HAE et a immédiatement annulé la version du serveur et déployé une mise à jour d’urgence. L’incident a été corrigé à 6h30 EDT. Nous avons confirmé qu’un total de 712 utilisateurs ont été affectés dans ce cas.
Bien que le problème ait été résolu, nous recommandons aux utilisateurs des pays affectés (États-Unis, Canada, Mexique, Argentine, Nouvelle-Zélande, Australie et Cuba) de :
- Veuillez débrancher puis rebrancher la base domestique de sécurité eufy.
- Déconnectez-vous de l’application eufy security et reconnectez-vous.
Toutes les données vidéo de nos utilisateurs sont stockées localement sur les appareils des utilisateurs. En tant que fournisseur de services, eufy assure la gestion des comptes, la gestion des appareils et l’accès P2P à distance pour les utilisateurs via les serveurs AWS. Toutes les données stockées et les informations de compte sont cryptées.
Afin d’éviter que cela ne se produise à l’avenir, nous prenons les mesures suivantes :
- Nous mettons à niveau notre architecture réseau et renforçons notre mécanisme d’authentification bidirectionnelle entre les serveurs, les appareils et l’application eufy Security.
- Nous mettons à niveau nos serveurs pour améliorer leur capacité de traitement afin d’éliminer les risques potentiels.
- Nous sommes également en train d’obtenir les certifications TUV et BSI Privacy Information Management System (PIMS) qui amélioreront encore la sécurité de nos produits.
Nous comprenons que nous devons rétablir la confiance avec vous, nos clients. Nous sommes incroyablement désolés et nous promettons de prendre toutes les mesures nécessaires pour éviter que cela ne se reproduise. Merci de nous avoir fait confiance pour votre sécurité. Notre équipe est disponible 24 heures sur 24 et 7 jours sur 7 à support@eufylife.com et du lundi au vendredi de 9 heures à 17 heures (PT) par le biais de notre chat en ligne sur eufylife.com.
Certains utilisateurs du subreddit r/EufyCam rapportent qu’ils ont entendu des bruits étranges provenant de leur caméra à peu près au moment où le bug a été signalé pour la première fois, un signe qu’ils étaient surveillés par quelqu’un qui a activé la fonctionnalité de haut-parleur de la caméra. Sans surprise, ces utilisateurs disent qu’ils ne veulent plus garder leur caméra Eufy.
En dehors de son rapide tweet, Eufy n’a pas commenté le bug. Nous ne savons pas pourquoi les utilisateurs sont soudainement tombés sur les comptes des autres ou pourquoi il a fallu près de deux heures à Eufy pour résoudre le problème – et nous ne savons pas vraiment s’il est résolu. Le fait que l’entreprise suggère aux utilisateurs de se déconnecter et de se reconnecter à leurs comptes implique que certaines personnes peuvent encore avoir accès aux comptes d’inconnus. On ne sait pas non plus si ce problème a impacté les utilisateurs de HomeKit Secure Video, qui devraient être protégés des bugs de sécurité de ce type.
Si vous possédez des caméras de sécurité Eufy, vous devriez vous déconnecter et vous reconnecter à votre compte et débrancher temporairement le matériel de votre caméra pour une réinitialisation rapide. Ou, vous savez, éteindre vos caméras jusqu’à ce qu’Eufy fournisse des informations réelles sur la façon dont cette faille de sécurité s’est produite. Vous pouvez également demander à rendre vos caméras et à changer de marque.
Source : Eufy, r/EufyCam via Engadget