Anker blundert met Eufy-camera’s, belooft beterschap
Het Chinese merk Anker claimt dat zijn Eufy-camera’s goed versleuteld zijn. Eind vorig jaar doken er echter berichten op over onversleutelde beelden die met behulp van een mediaspeler eenvoudig op een computer te bekijken waren. Volgens Anker was er destijds geen vuiltje aan de lucht, maar nu heeft de fabrikant z’n fout toch toegegeven. Nu belooft Anker beterschap.
Heb je een beveiligingscamera van Eufy op het oog? Dan doe je er goed aan dit artikel door te nemen, want er is iets aan de hand.
- In dit artikel lees je wat er de afgelopen maanden zoal speelde
- Hoe Anker daarmee omging
- Hoe de toekomst van het merk er nu uitziet
- Ook interessant: Zo versleutel je de videobeelden van je slimme deurbel!
Soms duurt het even, maar dan moet je met de billen bloot. Als er problemen zijn, dan geldt dat voor iedereen en voor elk bedrijf. Het Chinese Anker heeft onlangs eindelijk toegegeven dat de voorheen veilig veronderstelde videostreams, gemaakt door camera’s die vallen onder het merk Eufy en beschikbaar zijn via het webportaal, niet van encryptie waren voorzien. Dat betekent dat iedereen in principe vrij toegang tot die beelden had.
Problemen bij Anker Eufy: wat was er aan de hand?
We schakelen even een versnelling terug, want hoe zijn we op dit punt gekomen? Het merk Eufy belooft al jaren privacy van de bovenste plank. Niet alleen worden beelden van beveiligingscamera’s en slimme deurbellen lokaal opgeslagen (op de zogeheten Eufy Homebase), ook worden die beelden rechtstreeks naar je smartphone gestuurd. Eind november prikte een beveiligingsonderzoeker die ballon lek met een tweet, want daar bleek niets van te kloppen.
De opgenomen beelden waren namelijk zomaar in te zien via een programma als het alom bekende VLC media player. De onderzoeker moest daarvoor wel contact maken met een uniek en relatief gemakkelijk te achterhalen adres, maar vanaf dat moment werden de beelden onversleuteld naar de computer gestreamd. Amerikaanse media deden navraag bij Eufy, waarna vertegenwoordigers claimden dat de berichtgeving niet klopte en er niets aan de hand was.
Om toegang te krijgen tot de onversleutelde beelden, heb je het wachtwoord van het account nodig dat aan de camera gekoppeld is. Ook moet je beschikken over het unieke adres. Bovendien werkte dit alleen met camera’s die actief waren; inactieve camera’s waren niet beschikbaar.
Hoe groot het probleem was, is niet helemaal duidelijk. Het unieke adres bevat cijfers van het serienummer van de camera, die willekeurig worden aangemaakt. Je kunt – in theorie – nummers raden, maar dat zouden dan pure toevalstreffers zijn. Het is echter wel een probleem als je een camera doneert, verkoopt of weggeeft. Als verkoper of donor kun je dat nummer namelijk hebben genoteerd en kun je zodoende nietsvermoedende slachtoffers continu in de gaten houden.
©PXimport
De reactie van Anker Eufy
Hoe reageerde Anker daar op? In plaats van normaal op vragen vanuit de media te reageren of fouten toe te geven, besloot het bedrijf stilletjes allerlei privacybeloftes van de website te verwijderen (voor en na). Bovendien werd de klantenservice klaargestoomd om klanten van standaardreacties te voorzien. Die statements besloegen een hoop woorden, maar nergens gaf Eufy echt toe fout te zijn geweest. Terwijl dat toch echt slimmer was geweest.
Als bedrijf kun je fouten maken. En het is heel vervelend dat je daar publiekelijk op gewezen wordt, maar het is tegelijkertijd een mooie kans om te laten zien uit welk hout je gesneden bent. Pak de verantwoordelijkheid, ga op de blaren zitten en beloof beterschap. En laat daarna ook zien wat je er aan doet door volledige transparantie te geven. Dat is de weg naar herstel. En die weg is heel belangrijk in tijden van het internet, zeker als je mensen online veiligheid verkoopt met je producten.
©PXimport
Eufy geeft eindelijk toe
Inmiddels heeft Eufy via techwebsite The Verge toegegeven dat het heeft geblunderd. Alles wat we hier eerder hebben benoemd, klopte ook daadwerkelijk. Er waren probleem met het webportaal, met de streams én met de beveiliging. En dat is een bittere pil. Niet alleen voor het bedrijf, maar ook voor de gebruikers. Want hoelang speelt dit al? Zou er iemand hebben meegekeken? Geen fijne vraag, zeker niet als het gaat om producten die je aanschaft in het kader van veiligheid en beveiliging.
Anker belooft in elk geval beterschap. Veel problemen zijn inmiddels verleden tijd, meldt het bedrijf. Videostreams via het webportaal zijn nu standaard voorzien van encryptie (net als in de app) en alle Eufy-camera’s krijgen ondersteuning voor WebRTC (een communicatiestandaard die alles versleutelt). Ook biedt Eufy zijn excuses aan voor de situatie en het gebrek aan fatsoenlijke communicatie. In de toekomst wil Anker alles beter aanpakken, waardoor de veiligheid beter kan worden gegarandeerd.
Dat gebeurt onder meer door de beveiliging op de proef te laten stellen door externe gespecialiseerde bedrijven en te leren van de resultaten. Ook moet een onafhankelijk expert verslag uitbrengen over de huidige staat van de beveiliging en komt er een zogenaamd 'bounty program' aan. Dat is een programma waarin hackers en beveiligers bewust inbreken om fouten en dergelijke op te sporen. Tot slot moet een website meer tekst en uitleg gaan geven over de online beveiliging.
Met deze stappen hoopt Anker (Eufy) het vertrouwen van de consument terug te winnen. Op de website van The Verge kun je een compleet statement lezen van het bedrijf.
