Über 700 Nutzer sahen fremde Streams
Eufy zum Kamera-Datenleck: „Es tut uns unglaublich leid“
Die Anker-Tochter Eufy hat uns weitere Detailinformationen zu dem Datenleck zukommen lassen, das Anfang der Woche für aufgeregte Nutzerberichte sorgte. Zur Erinnerung: Montag Abend häuften sich plötzlich die Berichte von Besitzern aktueller Eufy-Überwachungskameras, die statt des eigenen Live-Bildes plötzlich auf die Videostreams fremder Personen zugreifen konnten.
Noch am gleichen Abend reagierte Eufy mit einer kurzen Stellungnahme und machte eine Server-Aktualisierung für den Datenabfluss verantwortlich, die zu einer Fehlkonfiguration der Nutzerzuordnungen geführt habe. Der Konzern bat seine Kunden um den vorübergehenden Logout aus der Eufy-Security-App und um einen Neustart der eigenen Kameras. Das Problem sollte damit behoben sein. Laut Eufy sollen von dem Vorfall lediglich 0,001 Prozent der Nutzer betroffen gewesen sein.
712 betroffene Nutzer, nur außerhalb Europas
Heute nun präzisiert Eufy den Vorfall und nennt konkrete Zahlen: Die 0,001 Prozent entsprechen 712 betroffenen Nutzern (was den Kundenstamm des Unternehmen auf gut 71 Millionen Anwender beziffern würde).
Eufy empfiehlt Vorsichtsmaßnahmen
Unter diesen befänden sich jedoch keine Europäer. Von dem Vorfall betroffen waren lediglich Anwender in den USA, in Kanada, Mexiko, Kuba, Neuseeland, Australien und Argentinien. Entsprechend empfiehlt Eufy die Vorsichtsmaßnahmen (Kamera kurz vom Strom nehmen und einmal neu in die Eufy-App einloggen) auch nur in den Ländern umzusetzen, in denen Anwender betroffen waren.
Um die fehlerhafte Accountzuordnung zukünftig zu verhindern, hat Eufy angekündigt die eigene Netzwerkarchitektur verstärken zu wollen und will einen „Zwei-Wege-Authentifizierungsmechanismus zwischen den Servern, Geräten und der Eufy Security App“ aufbauen.
In einer Stellungnahme des Unternehmens, die ifun.de vorliegt, heißt es heute:
Wir rüsten unsere Server auf, um deren Verarbeitungskapazität zu verbessern und so potenzielle Risiken auszuschließen. Außerdem sind wir dabei, die Zertifizierungen des TÜV und des BSI für das Privacy Information Management System (PIMS) zu erlangen, die unsere Produktsicherheit weiter verbessern werden. Wir verstehen, dass wir bei Ihnen, unseren Kunden, wieder Vertrauen aufbauen müssen. Es tut uns unglaublich leid und wir versprechen, alle notwendigen Maßnahmen zu ergreifen, um zu verhindern, dass dies jemals wieder passiert.
Zum Glück momentan nicht am Netz..dieses hausgemachte Problem ist wirklich abenteuerlich und hanebüchen
Wirkt transparent und ehrlich. Guter Ansatz.
Fehler passieren jedem mal. Und auch wenn das Sicherheitsmäßig und Datenschutzrechtlich ein bedenklicher Vorfall ist, so ist die transparente Kommunikation doch sehr löblich. Der Versuch das ganze unter dem Teppich zu kehren, macht es nur schlimmer *vorwurfsvoller Blick rüber zu Ubiquiti*
Nur das das kein „Fehler“ ist sondern ein geplanter Konstruktiver Miss Zustand!
Wer Anlagen so Planen und baut, hat nur einen Grund Unfähigkeit oder vermeintlich Geld Sparren.
Klar ärgerlich, aber 1000x besser als die ganzen Chinadinger die es totschweigen und teilweise „offen“ im Web hängen
Anker ist auch chinesisch.
Der Satz von iChef endete nicht bei „Chinadinger“, Castle.
vermutlich meint @iChef damit auch die Möglichkeit, dass man die Daten auch lokal zu Hause ablegen kann.
Wie … nicht eine Reederei aus Hamburg?
@ROP: Ich habe nur einen Hinweis gegeben, mehr nicht. Dass ich unterstellt habe, iChef habe Anker auch als Chinadinger bezeichnet, ist eine Unterstellung ;)
iChef ist bekannt, dass Anker aus China stammt, weißt aber darauf hin, dass die Firma nicht so agiert, wie zahlreiche andere „Chinadinger“, die solch einen Fehler „totschweigen“ respektive Firmen, die den Fehler begehen und die Streams der Kameras „offen im Web hängen“ lassen. ;)
Na toll, das macht es jetzt besser?
Offene Kommunikation ist ja wohl das mindeste was man erwarten kann.
Offenbar sind die Wireless-Kameras auch ohne Internetverbindung nutzbar (in Fritzbox Internetzugriff verboten). Dann erhalte ich aber keine Push-Mitteilungen mehr (im lokalen LAN). konnte das schon jemand lösen?
Push funktioniert zentral über Apple-Server. Erst mit iOS 14 sind lokale Push-Nachrichten möglich. Wenn deine Kamera keine Verbindung zu Apple aufbauen kann, bekommst du eventuell auch keine Mitteilung mehr.
Ich habe sie auch gesperrt, über Eufy App Offline und von der App auch keine Push mehr. In HomeKit vorhanden(auch über Mobilfunk) und HomeKit Pushs funktionieren.
Netzwerkarchitektur verstärken und 2FA zwischen Server, Geräten und App einführen ist ja schön und gut. Hilft bei diesem Problem aber überhaupt nicht. Es war ja die Rede von einem Datenbank-Update, welches zu den Problemen führte. Sollten (wie auch immer) die Datensätze falsch verknüpft sein, werden mir auch nach diesen Maßnahmen wieder die falschen Kameras angezeigt. Für mich stinkt das ganz schön zum Himmel…
Deswegen soll man ja die HomeBase neustarten und sich neu einloggen, dadurch wird das ganze wohl wieder richtig zugeordnet.
Ich hol mal meine Glaskugel raus:
Die Zuordnung erfolgt (wie üblich) in der Datenbank. Du wirst einen lokalen Cache in deiner Homebase haben. Die haben das jetzt in ihrer Datenbank gefixt und du sollst dich neu einloggen, damit die aktuellen Daten von deren Server geladen werden.
Wenn die jetzt aber irgendwann wieder „so ein“ Problem haben und die Daten in ihrer Datenbank falsch verknüpft sind, kann es sein, dass deine Homebase die Daten wieder falsch übertragen bekommt. Da kann der Übertragungsweg noch so sicher sein. Die Daten sind trotzdem falsch verknüpft.
Ich lehne mich mal weit aus dem Fenster:
Die hatten das Datenbank-Problem und die Endgeräte ziehen sich nur einmal in 24h die aktuellen Daten, falls sie nicht explizit gepushed werden. Dadurch war Europa auch (noch) nicht betroffen, weil einfach der Sync-Zeitpunkt noch nicht ran war.
Wenn das alles ordentlich (Ende zu Ende) verschlüsselt wäre dann hätte das gar nicht passieren können. Dieser Vorfall zeigt doch, dass der Anbieter vollen Zugriff auf alle Streams hat. So hab ich ebenfalls ein schlechtes Gefühl und werde in Zukunft die Produkte von Eufy meiden.
Da im Titelbild groß das HomeKit-Logo prangt sollte vielleicht kurz hervorgehoben werden, dass es eben genau dieses nicht betrifft. Es steht eben für eine geprüfte und zertifizierte Qualität. So etwas kann nie ausgeschlossen werden, aber zeigt eben den Vertrauensvorschuss, den wir Anwender aufbringen.
Habe gar sowas nicht aber:
Immerhin eine richtige Entschuldigung mit „tut mir leid“ und kein: „funktionierte entsprechende Systemkonfiguration nicht“ , „Datenbankfehlkonfiguration“ . „…angewiesen regelmäßig zu überprüfen“ … „steht’s das Beste für dich!…“
Man kennt sowas auch anders von großen Unternehmen! ;) ;)
Da fehlt ein Komma. „Steht’s, das beste für mich“. Oder meintest du „stets“? :-)
Hallo Tobi,
wer im Glashaus sitzt…….. „das beste“ bei Bernd war es richtig geschieben!
…geschieben? :D
Schön das anker offen reagiert!
Um mal mit Puffi zu sprechen..
Na Dankeschön, auf Wiedersehen.
..
Das ist ja wohl das mindeste was man erwartet kann.
Hat auch was gutes: Immerhin müssen sie jetzt mehr aufpassen und es kann nur besser werden. bzw. kann sowas nicht mehr so einfach passieren.
Aufpassen ist guut, auch noch nicht im Zusammenhang mit Sicherheit gehört.
Deshalb keine Camera mit Cloud!
Ich habe nur 3 Homekit Cameras. Und in der Firma wird Dahua IP verwendet mit NVR.
ja, keine 100 % Sicherheit, aber da muss mich schon einer Hacken um die Streams zu sehen.
Haha :D Ich verstehe einfach nicht, wie man sich sowas ins Haus stellen kann. Mein Gott ey….da wird ein Live Video Feed von eurem zu Hause ohne E2E Encryption auf fremde Server gestreamt.
Das da nun ein paar Leute auf die falschen Feeds Zugriff hatten, ist ja noch das am wenigsten schlimmste. Der Hersteller/Serverbetreiber oder Hacker haben dann dauerhaften Zugriff auf SÄMTLICHE Feeds.
Es gibt einfach Dinge die man aus gutem Grund lokal laufen lässt….und Videoüberwachung gehört da eindeutig dazu.