Anker-merk eufy erkent dat streams van eufy-camera's naar eufy's Web portal niet eind-tot-eind-versleuteld waren, ook al claimde het bedrijf maanden geleden nog van wel. Inmiddels zijn deze streams volgens het bedrijf wel versleuteld.
Eind vorig jaar bleek de livestream van een eufy-camera naar de Web portal, waarmee de streams via de webbrowser te bekijken zijn, niet versleuteld te zijn. Gebruikers konden daardoor de link naar een camera openen in bijvoorbeeld VLC. Eufy's-moederbedrijf Anker zei destijds tegen The Verge dat dit niet mogelijk was.
In een nieuw statement aan hetzelfde medium erkent eufy dat die streams toch niet versleuteld waren. De streams naar de Security App waren wel altijd versleuteld, maar die voor de Web portal waren dit niet. Die Web portal is via de browser te benaderen en vereist een login.
Eufy zegt dat deze Web portal-streams niet versleuteld waren, omdat de livestreams pas later aan Web portal werden toegevoegd nadat gebruikers hierom vroegen. Aanvankelijk was dit portaal alleen bedoeld om cloudopslag en abonnementen in te zien. Dit portaal was dan ook niet ontwikkeld voor eind-tot-eind-versleuteling, aldus Ankers communicatiehoofd Eric Villines. Villines erkent dat dit een fout was en zegt dat alle streams nu eind-tot-eind-versleuteld zijn. Apparaten gaan daarnaast WebRTC gebruiken voor deze versleuteling; de HomeBase 3 en eufyCam 3 doen dit al.
Het bedrijf gaat ook in op de Video Doorbell Dual, dat camerathumbnails opsloeg in eufy's cloudopslag. Ook hiermee verbrak eufy zijn eigen beloftes, omdat het bedrijf beloofde dat gebruikers ervoor konden kiezen om data alleen lokaal op te slaan. De Video Doorbell Dual sloeg thumbnails echter ook in de cloud op, ook als gebruikers ervoor hadden gekozen om video's alleen lokaal op te slaan.
Anker claimt dat dit voor de gezichtsherkenning gebeurde. Het idee was dat als gebruikers die cameradeurbel zouden vervangen, eufy die thumbnails kon gebruiken om de gezichtsherkenning opnieuw te kunnen instellen. Eufy erkent dat deze functie tegen de 'lokale opslagbelofte' inging en deze functie is daarom verwijderd. Anker benadrukt dat gezichtsherkenningsdata niet met die thumbnails werd opgeslagen.
In reactie op deze twee voorvallen, kondigt eufy meerdere nieuwe maatregelen aan. Zo wil het bedrijf nieuwe beveiligingsconsultants inhuren en wil eufy meer doen met certificeringen en pentesten. Daarnaast wil het merk een onafhankelijk rapport laten uitvoeren door een beveiligingsbedrijf en moet er een bugbountyprogramma komen. Eufy belooft verder een site te maken waarmee het bedrijf beter wil uitleggen welke data waar wordt opgeslagen en wil het bedrijf beter communiceren met de community en de media.