美國一宗針對 Eufy 家用監控鏡頭製造商 Anker 科技(Anker Tech)的訴訟聲稱,Anker Eufy 將任何走在其 Eufy 鏡頭前的人臉部進行 “unique identifiers” (唯一標識),然後將該數據存儲在雲端,當這些人擦肩而過時,“本質上記錄了毫不知情的個人位置”。這次訴訟是一起潛在的集體訴訟,於 2023 年 1 月在佛羅里達州一家法院進行,並將在本週轉至伊利諾州北區。
這是在訊息安全專家 Paul Moore 和一位自稱為 “Wasabi” 的黑客公開資料引發的,Anker 沒有按照其所聲稱的方式存儲和保護人們的訊息之後,提起的三個訴訟之一。三個訴訟都聲稱, Anker 虛假陳述其家用監控鏡頭將所有數據都存儲在本地,不會將該數據上傳到雲端。
Anker Eufy 可以通過 VLC 被陌生人串流觀看
2022 年 11 月,Paul Moore 公開聲稱, Anker 的 Eufy 家用監控鏡頭捕捉的影片和音頻可以通過任何使用 VLC 媒體播放器的陌生人進行串流媒體和觀看。投訴詳細介紹了 Paul Moore 如何顯示所謂的 “‘私人’、‘僅存儲在本地’、‘僅傳輸給你’的門鈴正在串流媒體到雲端-即使未啟用雲存儲”。
他聲稱,這些設備正在將影片縮略圖和面部識別數據上傳到 Anker 的雲端伺服器,即使他從未選擇使用 Anker 的雲服務,他還說,他發現一個與不同帳戶相關聯的獨立鏡頭可以使用相同的 Unique ID 識別他的面孔。當時,這位安全研究人員聲稱,這表明 Anker 不僅在雲端存儲面部識別數據,還在不同帳戶之間“共享該後端訊息”,其他兩起幾乎相同的訴訟的律師聲稱。
佛羅里達原告Sagar Desai聲稱,該公司違反了美國聯邦竊聽法案,從事虛假商業行為等行為。Desai的法律團隊已要求將其與早在2月份就已經合併的其他兩起訴訟合併。
訴訟幾乎涉及 Anker Eufy 大部份鏡頭
投訴所涉及的 Anker Eufy 鏡頭包括:
EufyCam; eufyCam I; eufyCam 2; eufyCam 2C; eufyCam 2 Pro; eufyCam 2C Pro; Solo IndoorCam; Solo OutdoorCam; SoloCams E20, E40, L20, L40 & S40; Video Doorbell (wired); Video Doorbell (Battery); Video Dual Doorbell (Wired); Floodlight Cam 2K; Floodlight Cam 2 E 2k; Floodlight Cam 2 Pro; and 4G Starlight Camera。
Desai 的投訴聲稱:Anker 不僅未保持消費者的訊息私密,還進一步顯示 Anker 正在未加密的情況下將面部識別數據和生物特徵上傳到其Amazon Web Services雲端。
事實上, Anker 將其客戶的數據與特定用戶名和其他可識別訊息一起存儲在其 AWS 雲伺服器上,即使其 “eufy”應用程式顯示數據已被刪除。此外,即使使用不同的鏡頭、不同的用戶名,甚至是不同的 HomeBase 將錄像 “儲存” 在本地 Local, Anker 仍然會在其鏡頭平台上標記和鏈接用戶的面部 ID 到其圖片上。這意味着,一旦在一個 eufy 家用監控鏡頭上記錄,這些相同的個體就會通過其生物特徵在其他 eufy 家用監控鏡頭上被識別出來。
2021 年還有另一件 Anker Eufy 資安問題
2021年發生的另一起無關事件中,Anker 的一些 1080p WiFi 連接的 Eufycams 鏡頭的 “軟件漏洞” 將一些用戶家中的影片傳送給了其他 Eufycam 客戶,其中一些當時位於其他國家。Anker的一位發言人當時告訴我們,只有少數客戶受到了影響,並補充說:“我們很抱歉疏忽了,正在制定新的安全協議和措施,以確保這種情況永遠不會再次發生。”對此事的調查表明,Anker Tech違反了許多消費者私隱法規和法律。 Anker 科技的行為涉及到大量用戶的私隱問題,嚴重影響消費者的信任和安全感。
