Anker-ägda Eufy är en populär tillverkare av smarta övervakningskameror, bland annat via några av marknadens billigaste kameror med stöd för Apples Homekit. Vissa av företagets kameror har ett offlineläge där video och stillbilder lagras lokalt på ett sd-kort, och Eufy skriver på sin webbplats att ”ingen har tillgång till din data utom du”.

Tyvärr visar det sig att det inte stämmer. Säkerhetsforskaren Paul Moore har nämligen upptäckt att Eufy Doorbell Dual skickar stillbilder för ansiktsigenkänning till företagets servrar även i offlineläget. Och vad värre är: Ansiktsigenkänningsdata från olika kameror kopplade till olika konton slås ihop.

Android Central har bekräftat att Eufycam 3 också skickar samma data i sitt offlineläge.

En annan säkerhetsforskare har även upptäckt att det är möjligt att ansluta till och strömma video från uppkopplade Eufy-kameror med hjälp av videospelaren VLC, utan någon autentisering eller kryptering. Paul Moore har också bekräftat det, men vill av naturliga skäl inte publicera detaljer om hur det går till.

Efter upptäckten har Eufy börjat åtgärda en del av problemet genom att bland annat kryptera trafiken och sluta visa de uppladdade bilderna för inloggade användare, men data laddas fortfarande upp i offlineläget.