Eufy, propriété d'Anker, s’exprime enfin après les révélations selon lesquelles ses caméras de sécurité, censées être uniquement locales, utilisaient le cloud sans en informer clairement les utilisateurs. Dans un long message posté sur son forum communautaire, Eufy a admis, après des semaines de silence, qu'elle devait être plus claire sur les processus effectués localement et ceux nécessitant l’usage de son serveur AWS sécurisé. L’entreprise reconnaît aussi qu'elle doit informer ses utilisateurs plus directement et en temps opportun. « À l'avenir, nous devrons faire en sorte de répondre plus rapidement à notre obligation d’informer nos clients à mesure que nous disposons d’informations vérifiées sur ce qui se passe dans les faits », a déclaré Eufy.
L’entreprise a également admis qu'une fonction de visualisation en direct sur son portail Web présentait une faille de sécurité, qu'elle a corrigée en empêchant les utilisateurs de visualiser ou de partager les flux en direct de leurs caméras Eufy sans se connecter au préalable au portail Web d'Eufy. Le constructeur a nié que la faille ait exposé les données des utilisateurs, tout en promettant de continuer à chercher des moyens d'améliorer cette fonctionnalité. Mais Eufy n'a pas répondu directement aux articles explosifs de The Verge et d'autres comme le chercheur en sécurité Paul Moore qui ont réussi à diffuser des séquences vidéo non cryptées à partir des caméras de sécurité Eufy en utilisant le lecteur multimédia VLC. Eufy a simplement dit que les failles de sécurité potentielles discutées en ligne sont spéculatives.
L'engagement de confidentialité discrètement modifié
Néanmoins, Eufy a reconnu qu'elle devrait être plus clair sur toutes les données transmises vers le cloud, en particulier, quand les notifications push d’opt-in sur les téléphones envoient des images de prévisualisation au serveur web Amazon d'Eufy. Eufy a déclaré que ces images de prévisualisation étaient protégées par un chiffrement de bout en bout et supprimées peu de temps après la notification push initiale, mais que le texte révisé dans l'application Eufy signalant l'utilisation du cloud AWS n’était pas suffisant. « C’est un domaine dans lequel nos équipes de marketing et de communication devront s’améliorer, et qui sera ajouté à notre site Web, à nos politiques de confidentialité et à d'autres supports marketing », a déclaré Eufy dans un communiqué, qui se termine sans excuses complètes et sans plus de commentaires.
Cette agitation autour d'Eufy a éclaté à la fin du mois dernier après qu'un chercheur en sécurité a affirmé qu'il pouvait accéder à une vignette de l'enregistrement d'un événement vidéo de sa sonnette Eufy Doorbell Dual, ainsi qu'à des photos de visages reconnus dans le clip, sur les serveurs AWS d'Eufy, alors qu’il avait désactivé l'accès au cloud de la sonnette. The Verge a vérifié les affirmations du chercheur tout en révélant qu'il avait réussi à diffuser la vidéo d'une caméra Eufy, de l'autre côté du pays, sans aucun chiffrement. Peu après la publication de ces rapports, Eufy a discrètement modifié sa page Web relative à son engagement de confidentialité, supprimant une dizaine de promesses de sécurité tout en clarifiant un certain nombre d'autres et en ajoutant des informations sur l'utilisation par Eufy du stockage dans le cloud d’AWS.