IL BUG DI EUFY: SCEGLI UN CLOUD SICURO PER LA TUA SMART HOME

Il bug di Eufy ha riacceso i riflettori su una questione di vitale importanza: la scelta di un cloud affidabile per la sicurezza della Smart Home.

Il brand Eufy appartiene all’azienda di elettronica cinese Anker Innovations con sede a Shenzhen (Guangdong) fondata da Steven Yang nel 2011. Si tratta di una società che, fino al 2017, vendeva i suoi prodotti esclusivamente su Amazon Marketplace.

Negli ultimi giorni, si è discusso molto sulla falla di sicurezza nei server di Eufy che ha permesso agli utenti di visualizzare filmati salvati e video in diretta tramite le telecamere di videosorveglianza domestica installate in case altrui (con cui gli utenti non avevano alcun contatto).

Sì, hai capito bene: il Grande Fratello random ha permesso agli utenti di accedere al controllo remoto delle telecamere e di collegarsi a quelle di altri utenti sparsi nel mondo.

In teoria, l’accesso al proprio profilo veniva eseguito con le proprie credenziali ma, in pratica, il sistema reindirizzava gli utenti al pannello di controllo delle telecamere di un altro utente. Così facendo, poteva tranquillamente accedere ai video in diretta ed alle registrazioni salvate in memoria forniti dalle telecamere di in-sicurezza installate in casa.

La falla è stata scoperta da un utente che ha segnalato l’anomalia su Reddit. Pare che tutto sia stato risolto senza gravi conseguenze. Pare che nessun attore malevolo abbia approfittato della situazione violando la privacy degli utenti. E’ davvero così?

E’ stato un errore informatico” ha dichiarato Eufy scusandosi.

Per un bug del genere basta chiedere “scusa“?

IL BUG DI EUFY: ECCO COSA È SUCCESSO AGLI UTENTI

Immagina di svegliarti una mattina, di aprire l’applicazione ufficiale dedicata alla tua telecamera di sicurezza smart e di ritrovarti con il login eseguito ad un altro account con la possibilità di accedere ad immagini e video in diretta di perfetti sconosciuti. L’app ha consentito di controllare telecamere fisiche altrui con azioni come zoom e panoramica.

A molti proprietari di telecamere Eufy è successo proprio questo.

Un glitch del sistema di gestione delle telecamere ha permesso di controllare altre telecamere Eufy casualmente in varie parti del globo.

Tra video registrati, dati personali, flussi audio e funzioni pan-and-tilt, praticamente si poteva fare di tutto. Pare che qualcuno sia effettivamente riuscito ad accedere al profilo di altri utenti sparsi nel mondo registrando video sul proprio smartphone.

UN PROBLEMA DI PRIVACY ENORME

Certi utenti dicono di aver risolto scollegandosi ed eseguendo di nuovo l’accesso sull’app, mentre altri continuavano a notare che, eseguendo il login, comparivano come utenti ospiti sul profilo condiviso di un’altra persona.

La questione privacy resta. La gravità di questa vicenda ha minato la sicurezza e la privacy delle persone coinvolte nel data breach.

LA DURA REAZIONE DEGLI UTENTI COINVOLTI NEL BUG DI EUFY

Le prime segnalazioni sul bug di Eufy che ha esposto i feed privati a utenti casuali sono partite dalla Nuova Zelanda: i toni degli utenti sono stati decisamente duri nei confronti di Eufy.

Sto per gettare nella pattumiera la mia cam, vi consiglio di fare lo stesso con la vostra“.

Sono entrato nell’app e ho avuto accesso al campanello della porta di qualcun altro“.

Controllavo la loro camera (pan, tilt, rotazione) e potevo registrare video“.

Se avete installato una telecamera Eufy all’interno o all’esterno della vostra casa, controllate il vostro account o spegnete le telecamere per ora“.

Stanno arrivando molte segnalazioni di violazioni della sicurezza. Molti utenti stanno prendendo il controllo su telecamere altrui. Possono vederle, parlare, controllarle. Spegnetele“.

Chiunque sia incaricato da Eufy chiuda i sistemi“.

Non ho idea di cosa sia successo. Dal nulla mi è stato dato un feed completamente diverso del campanello e delle telecamere di sicurezza di qualcun altro“.

L’account di qualcun altro mostrava una donna che camminava nel suo garage. Uno schifo, sono andato fuori di testa. Ho fatto uno screenshot dell’app per dimostrare cosa stava succedendo, poi l’ho cancellato. Ho disconnesso tutti i prodotti Eufy in casa mia“.

Anche un noto giornalista della ABC, Andrea Nierhoff, ha riferito di essere stato colpito dal bug: “Sono stato in grado di accedere ai flussi live e preregistrati delle telecamere di qualcun altro. Spaventoso!”

Un bug software? Questa è la storia che volete raccontarci? Gli utenti possono vedere attraverso le videocamere degli altri e voi questo lo chiamate bug software? Questa è una massiva violazione della sicurezza!”.

L’ira di tanti clienti presi dal panico è stata immediata. Hanno messo in dubbio le pratiche di sicurezza e privacy dell’azienda Anker. Molti utenti hanno notato che il problema è persistito per tutto il giorno consentendo a molti utenti di spiare perfetti sconosciuti. Hanno lanciato l’allarme sulla privacy che continua a risuonare su tutte le piattaforme online, tra cui forum di utenti Eufy, Reddit e Twitter.

COSA HA DICHIARATO EUFY

Un portavoce dell’azienda cinese Anker ha confermato il problema specificando che sarebbe durato in tutto un’ora dopo il rilevamento senza coinvolgere utenti europei. Il bug avrebbe coinvolto pochi utenti in USA, Australia, Nuova Zelanda, Messico, Cuba, Brasile e Argentina.

Ecco cosa ha dichiarato Eufy:

“Per un bug del software durante un aggiornamento, un numero limitato di utenti (0,001%) è stato capace di accedere al feed video delle telecamere di altri utenti. Il nostro team ha scoperto il problema e lo ha risolto in modo rapido. Come azienda di sicurezza, siamo consapevoli di non aver fatto tutto bene in questo caso. Ci scusiamo. Stiamo lavorando a nuovi protocolli e misure di sicurezza per fare in modo che questo non accada mai più“.

Tra i nuovi protocolli di cui parla Eufy ci sarebbero:

– update dell’architettura di rete e potenziamento del sistema di autenticazione a due vie;

– aggiornamento dei server per migliorare la capacità di elaborazione;

– ottenimento di certificazioni specifiche (come TUV, BSI) nel sistema di gestione delle informazioni sulla privacy o PIMS.

Secondo quanto dichiara Eufy, il problema non è stato abusato da attori malevoli violando la privacy degli utenti. Pare che siano stati complessivamente 712 gli account esposti.

Il data breach di Eufy ha fatto scattare un campanello di allarme.

Un’azienda di sicurezza che gestisce un’ampia gamma di filmati privati che vengono poi esposti violando la privacy di centinaia di clienti non si può definire semplicemente un problema o un “errore informatico”. E’ la conseguenza di scelte sbagliate, dell’utilizzo di cloud non sicuri.

Emerge sempre più un mercato consumer in difficoltà sul lato della sicurezza delle telecamere wireless. Finora, hanno causato seri problemi ad un lungo elenco di fornitori tra cui Amazon, Google e ADT.

IL BUG DI EUFY: IL VERO PROBLEMA È IL CLOUD

Seppure Anker abbia confermato che il bug sia durato un’ora dopo il rilevamento, il problema è sorto in vari Paesi.

Eufy ha riportato che il problema è derivato da un bug del software per un problema tecnico di aggiornamento mal progettato del server del 17 maggio scorso, che deve essere ulteriormente elaborato.

La dichiarazione di Eufy sembra non convincere.

Sicuramente non chiarisce quale sia il “bug” che ha portato i proprietari delle telecamere di sicurezza Eufy ad ottenere l’accesso al feed di altri utenti. Ha soltanto spiegato i passaggi per evitare che un simile incidente si ripeta in futuro. La dichiarazione ufficiale di Eufy non descrive nemmeno i dettagli relativi all’errore sulla privacy.

Molti utenti non hanno affatto creduto che si trattasse di un bug: hanno definito la vicenda “una violazione massiva della sicurezza“.

Eufy conferma il tempestivo intervento da parte dei tecnici, ma la risoluzione definitiva del problema avviene soltanto se i singoli utenti eseguono specifiche azioni: disconnettersi e riconnettersi ai propri account tramite app. Quindi, gli utenti che non lo fanno potrebbero ancora accedere agli account di estranei, il che lascia aperto il guaio a tutti coloro che ignorano il problema o che non eseguono le azioni consigliate da Anker.

In più, c’è da considerare che i dati dell’account visualizzati (nome, posizione della casa e altri dettagli privati) potrebbero tuttora essere utilizzati per scopi malevoli.

Il bug ha permesso l’accesso attraverso i feed delle telecamere Eufy perché Anker è un’architettura basata su cloud. Chiunque controlli il server principale che monitora e gestisce i feed ha l’accesso a tutte le telecamere che lo utilizzano.

I problemi di sicurezza con la telecamere smart home basate su cloud non sono rari: vulnerabilità che hanno minacciato la privacy degli utenti sono state riscontrate anche con Amazon Ring e Google Nest.

COME RICONOSCERE UN CLOUD SICURO

E’ stato un errore informatico” ha dichiarato Eufy scusandosi.

Un’azienda che si occupa di sicurezza può cavarsela con una frase del genere, dopo aver messo in pericolo la privacy degli utenti?

Il problema vero è il cloud. Bisogna scegliere un cloud sicuro.

I cloud sicuri sono tutti quelli che dichiarano ‘dove’ e ‘come’ vengono gestiti.

Risco, ad esempio, dichiara che i suoi cloud sono allocati dove sono presenti anche quelli di Windows, da Azure. Windows rilascia anche delle certificazioni.

Anche il nostro sistema di sicurezza smart HAS Home Automation Security garantisce un cloud sicuro: il cloud Alarm.com.

Non ci stancheremo mai di dirlo: non bisogna utilizzare telecamere collegate a cloud non sicuri.

Scegli esperti del settore in grado di garantire non solo sicurezza ma più sicurezza.