Sicherheitskameras von Hersteller Anker Eufy gerieten Ende November 2022 in den Fokus weil sie, entgegen des Versprechens des Herstellers, ohne Zustimmung Gesichtsdaten ins Internet übermittelten. Klammheimlich hat der Hersteller nun dieses Privacy-Versprechen offenbar von der Website entfernt.
Anker Eufy entfernt Hinweise zur lokalen Datenspeicherung
Ende November 2022 deckte Sicherheitsforscher Paul Moore eine kritische Daten- und Sicherheitslücke bei der Anker Eufy Doorbell Dual auf. Die Sicherheitskamera übermittelte, ungefragt und ohne Zustimmung, Gesichtsdaten der Nutzerinnen und Nutzer in das Internet. Und das, obwohl man sich mit einer lokalen Datenspeicher brüstete.
In einem Statement des Herstellers hieß es auf Nachfrage:
[…]Obwohl unsere eufy Security-App den NutzerInnen vom Start an die Möglichkeit bietet, zwischen Text- und Thumbnail-basierten Push-Benachrichtigungen zu wählen, wurde von uns nicht deutlich genug gemacht, dass bei der Auswahl der Thumbnail-Benachrichtigungen die Vorschaubilder kurzzeitig in der Cloud gehostet werden.Diese fehlende Kommunikation war ein Versehen unsererseits und wir entschuldigen uns aufrichtig für diesen Fehler.“
Wie das Magazin The Verge nun berichtet, habe der Hersteller ab dem 08. Dezember insgesamt zehn Sicherheitsversprechen von den Produktwebsites entfernt. Bei einem Vergleich der damaligen Version der Website und der neuen Variante stoßen einige Anpassungen direkt ins Auge.
Sicherheitshinweise entfernt
So ist beispielsweise der Hinweis „Ihre aufgezeichneten Daten werden privat gehalten und lokal gespeichert. Mit Verschlüsselung nach Militär-Standard. Und zu ihnen und nur zu ihnen übertragen,“ komplett verschwunden.
Auch weitere Aussagen wie „Nur für Ihre Augen,“ und viele weitere sind auf den aktualisierten Websites nicht mehr zu finden. Entfernt wurde zudem ein längerer Paragraph, der darauf hinwies, dass Videos nur mit Zustimmung der Nutzer an Strafverfolgungsbehörden weitergegeben werden dürfen.
Damit ist es nun offenbar möglich, dass Anker Eufy Sicherheitskameras diese Daten an die Polizei weitergeben. Auch ohne explizite Zustimmung. Das sorgte bereits bei der Amazon-Tochter Ring im Juli 2022 für Aufsehen.
Die Anpassung der Website von Anker Eufy hat aber nicht nur wichtige Sicherheitshinweise bzw. -versprechen gelöscht. Auf der anderen Seite macht man nun deutlicher klar, dass Kundinnen und Kunden auf ihr aufgezeichnetes Material über ein Web-Portal zugreifen können und dass (optional) die Möglichkeit besteht, Video-Clips in der Cloud zu sichern.
Zudem macht man klar, dass „ihre Video-Aufnahmen nicht angeschaut, geteilt oder von Eufy für andere Zwecke genutzt werden können“.