image featured from : unsplash.com
Peraturan Perlindungan Data Umum (GDPR) Uni Eropa melindungi hak dasar atas privasi individu dan perlindungan data pribadi Uni Eropa (UE). Peraturan Perlindungan Data Umum (GDPR) mencakup persyaratan tangguh yang akan meningkatkan dan menyelaraskan standar untuk perlindungan data, keamanan, dan kepatuhan. Namun jika foto pribadi anda di unggah ke icloud tanpa sepengetahuan anda , bagaimana?
Dikutip dari techradar, Kamis (1/12/2022) Pengguna yang sadar akan keamanan mungkin tanpa disadari memberikan data mereka kepada Amazon. Seorang peneliti keamanan telah mengklaim kamera keamanan Eufy mengunggah foto yang berisi data yang dapat diidentifikasi secara pribadi ke servernya, tidak hanya melanggar proposisi penjualan utamanya tetapi juga Peraturan Perlindungan Data Umum (GDPR) UE.
Menurut sebuah laporan oleh Android Central(opens in new tab), peneliti keamanan Paul Moore menemukan bahwa kamera Eufy Doorbell Dual mengunggah data pengenalan wajah ke cloud AWS perusahaan, tanpa enkripsi.
Perusahaan, di sisi lain, mengatakan sepenuhnya mematuhi peraturan perlindungan data dan bahwa data yang dikumpulkan hanya digunakan untuk pemberitahuan.
Sesuai dengan GDPR?
Dalam serangkaian tweet (buka di tab baru), Moore mengklaim bahwa data disimpan bersama dengan nama pengguna dan informasi lain yang dapat digunakan untuk mengidentifikasi orang yang gambarnya diambil. Terlebih lagi, Eury menyimpan datanya bahkan ketika pengguna menghapusnya dari aplikasi Eufy, klaimnya.
Moore juga mengatakan umpan video dapat diakses melalui browser web, hanya dengan mengetahui URL yang tepat, tanpa memerlukan kata sandi. Video kamera yang dienkripsi dengan AES 128 menggunakan kunci sederhana yang relatif mudah dibobol, katanya.
Sejak menyampaikan berita, perusahaan mengklaim telah menambal “beberapa masalah”, tetapi tidak lebih transparan dari itu, jadi memverifikasi apakah masalah tersebut sedang berlangsung tidak mungkin dilakukan.
“Sayangnya (atau untungnya, bagaimanapun Anda melihatnya), Eufy telah menghapus panggilan jaringan dan sangat mengenkripsi yang lain untuk membuatnya hampir tidak mungkin untuk dideteksi; jadi PoC saya sebelumnya [bukti eksploitasi konsep] tidak lagi berfungsi. Anda mungkin bisa untuk memanggil titik akhir tertentu secara manual menggunakan muatan yang ditampilkan, yang mungkin masih memberikan hasil,” tambah Moore kemudian.
Eufy, di sisi lain, mengatakan kepada publikasi bahwa produknya “sepenuhnya sesuai dengan standar Regulasi Perlindungan Data Umum (GDPR), termasuk sertifikasi ISO 27701/27001 dan ETSI 303645.” Masalahnya tampaknya ketika pengguna memutuskan bahwa mereka menginginkannya thumbnail dengan notifikasinya.
Notifikasi dari kamera hanya berupa teks secara default, artinya tidak ada thumbnail yang diunggah kecuali, seperti halnya dengan Moore, pengguna mengaktifkan fitur ini secara manual.
Eufy juga mengatakan thumbnail “sementara” diunggah ke servernya, sebelum dikirim sebagai notifikasi. Selain itu, perusahaan mengatakan praktik pemberitahuan push-nya “sesuai dengan layanan Pemberitahuan Push Apple dan standar Firebase Cloud Messaging” dan penghapusan otomatis. Tidak disebutkan kapan.
Thumbnail juga menggunakan enkripsi sisi server, perusahaan menambahkan, dengan mengatakan bahwa mereka tidak boleh terlihat oleh pengguna yang tidak sah.
“Meskipun aplikasi Eufy Security kami memungkinkan pengguna untuk memilih antara notifikasi push berbasis teks atau thumbnail, tidak dijelaskan bahwa memilih notifikasi berbasis thumbnail akan memerlukan gambar pratinjau untuk dihosting secara singkat di cloud. Kurangnya komunikasi itu adalah sebuah pengawasan di pihak kami dan kami dengan tulus meminta maaf atas kesalahan kami, ”perusahaan menyimpulkan.
Ke depan, Eufy mengklaim akan mengubah bahasa opsi notifikasi push-nya, serta penggunaan cloud untuk notifikasi push.
Milano – UKDW 2018
Be the first to comment