Saya telah menunggu waktu yang tepat untuk meninjau beberapa kamera keamanan dalam ruangan lama selama beberapa bulan terakhir. Ini bukan tentang merek (Blink) atau kamera (yang bekerja cukup baik sejauh ini!). Itu karena setiap kali saya bersiap untuk menulis tentang mereka, berita seperti serangan Ransomware Ring baru-baru ini atau jaringan tidak aman Eufy akan muncul, dan saya akan membatalkan ulasan kamera keamanan saya.
Mengapa? Karena saya semakin tidak nyaman merekomendasikan setiap kamera keamanan ketika mengetahui apakah backend aman atau tidak telah menjadi sesuatu yang hanya bisa diberitahukan oleh pemburu hadiah bug dan peramal kepada Anda.
Ketika saya meninjau suatu produk, saya mencoba untuk menjadi rewel mungkin. Bukan karena saya ingin memberikan ulasan yang buruk, tetapi karena tugas saya adalah melewati siaran pers yang ideal dan lembar spesifikasi untuk melihat celah di bawah permukaan.
Tinjauan kamera keamanan yang positif berarti kami menganggap keamanan internalnya begitu saja, tetapi sulit untuk mempercayai * perusahaan keamanan mana pun saat ini.
Anda bisa melihat beberapa masalah dengan kamera keamanan, seperti jika kualitas video atau deteksi AI tidak berhasil. Tetapi bahkan dengan kamera terbaik kami telah menguji dan mencintai, selalu ada momok dari beberapa pelanggaran yang tidak diketahui yang mengintai di cakrawala.
Itu bukan sesuatu yang saya (atau sebagian besar jurnalis teknologi) memenuhi syarat untuk dideteksi. Dengan ponsel cerdas, kami dapat menguji sendiri sebagian besar perangkat lunak dan keamanan, dan pengguna memiliki kontrol hampir penuh untuk memblokir atau mengaktifkan aplikasi agar tidak melacaknya. Dengan kamera keamanan, semua keamanan data itu ditangani dari jarak jauh, dan kami hanya dapat mempercayai perusahaan bahwa mereka melindungi data Anda dengan aman.
Masalahnya adalah, kita benar-benar tidak bisa percayakan perusahaan keamanan untuk memberikan penilaian yang jujur tentang keamanan sibernya lagi — jika kami bisa.
Apakah mereka berspesialisasi dalam perangkat keras atau perangkat lunak, perusahaan menyukainya LastPass atau Eufy cenderung menyembunyikan pelanggaran aktif apa pun selama berbulan-bulan hingga dipublikasikan dan kemudian mengecilkan tingkat keparahannya dengan keadaan yang meringankan dan jargon teknis.
Bahkan dengan perusahaan yang paling aman sekalipun, yang diperlukan hanyalah satu kesalahan phishing atau pengamanan yang buruk di pihak ketiga afiliasi untuk mengubah kamera keamanan Anda menjadi gerbang bagi seseorang untuk mengakses umpan rumah Anda tanpa pernah Anda ketahui.
Aliran insiden meresahkan yang tidak pernah berakhir
Keburukan melaporkan minggu lalu bahwa vendor pihak ketiga yang terkait dengan Ring telah terkena ransomware BlackCat; Karyawan cincin telah diberi tahu "jangan membahas apa pun tentang ini," dan kami belum dapat memastikan data pengguna apa yang dipertaruhkan jika Amazon tidak membayar.
Sebelum kejadian terbaru ini, peneliti keamanan Paul Moore menemukan bahwa kamera Eufy mengirim gambar pengguna dan data pengenalan wajah ke cloud tanpa sepengetahuan atau persetujuan mereka, yang dapat Anda streaming siapa punkamera pribadi diumpankan dari browser web, dan enkripsi AES 128 Eufy mudah diretas karena menggunakan kunci sederhana.
Eufy menanggapi dengan menambal beberapa masalah dan mengedit pedoman privasinya untuk menjamin lebih sedikit perlindungan bagi penggunanya, pada saat itu kami merekomendasikan Anda buang kamera Eufy Anda.
Dibandingkan dengan skala epik pelanggaran kamera Verkada, di mana 150.000 kamera dapat diakses melalui satu kata sandi utama, sebagian besar kelemahan yang diketahui publik dengan sistem keamanan rumah yang terkenal relatif kecil dan terjadi beberapa tahun yang lalu. Tapi masih ada alasan untuk khawatir.
Dalam beberapa kasus, seperti Wyze, mereka menyembunyikan kerentanan utama dengan Wyze Cam v1 untuk tiga tahun sampai Bitdefender membukanya. Meskipun "penyerang luar [dapat] mengakses umpan kamera atau mengeksekusi kode berbahaya untuk lebih membahayakan perangkat," Wyze membenarkan dirinya sendiri dengan mengatakan peretas perlu mendapatkan akses ke Wi-Fi rumah Anda, dan itu memperbaiki masalah di kamera yang lebih baru.
Sebelum insiden ransomware Ring, ia terlibat dalam kritik ketika seorang sumber mengatakan kepada The Intercept bahwa kontraktor Ring dapat menonton rekaman pelanggan dengan tidak lain adalah alamat email dan bahwa eksekutif Ring merasa bahwa mengenkripsi rekaman "akan membuat perusahaan menjadi kurang berharga".
Ring akhirnya menyerah dan mengenkripsi kameranya, tetapi masih sering menuai kritik karena memberikan rekaman bel pintu kepada polisi tanpa persetujuan pengguna.
Teknisi ADT mengakses feed rumah 9.600 kali dengan kedok menguji sistem untuk memata-matai pelanggan wanita tanpa sepengetahuan mereka, per Majalah Keamanan. Brinks Home secara tidak sengaja memberi pelanggan akses ke nama, alamat, dan nomor telepon pengguna lain, tetapi butuh waktu berbulan-bulan untuk memperbaiki masalah ini setelah pelanggan memperingatkan mereka, lapor Penjualan Keamanan.
Saya dapat melanjutkan, atau Anda dapat dengan mudah menelusuri Google untuk perusahaan keamanan favorit Anda, menambahkan "pelanggaran" di bagian akhir, dan melihat beberapa cerita yang mengganggu.
Menerima yang tidak diketahui
Poin keseluruhan saya sederhana: Bahkan perusahaan keamanan populer dengan enkripsi yang tampaknya tidak dapat ditembus pun akan melakukannya keputusan yang membuat data pribadi atau umpan rumah Anda rentan — atau mempekerjakan seseorang yang mengeksploitasi kekuatan mereka cara-cara yang mengganggu. Dan begitu perusahaan itu mengetahuinya, sama sekali tidak ada jaminan kamu akan mencari tahu tentang hal itu kecuali seseorang pelapor atau pakar keamanan mengetahui kesalahan mereka.
Di lingkungan ini, mengulas dengan riang setiap kamera keamanan perusahaan berdasarkan kemampuannya dan merekomendasikannya kepada pembaca saya terasa tidak bertanggung jawab. Itu punyaku pekerjaan untuk melakukannya, dan saya akan menulis tentang Blink Indoor dan Blink Mini setelah jelas bagaimana perusahaan induknya menangani serangan ransomware Ring.
Kami dapat meninjau kamera keamanan berdasarkan kemampuan internalnya, tetapi kami tidak dapat meninjau faktor eksternal yang dapat merusak segala sesuatu yang berguna tentangnya.
Namun dalam melakukannya, saya harus menyertakan peringatan besar bahwa saya tidak tahu apa tautan terlemah Blink (atau perusahaan mana pun) — karyawan yang tidak bermoral, tim pihak ketiga yang tidak dapat diandalkan, enkripsi yang lemah, atau sesuatu yang lain sama sekali — yang dapat merusak segala sesuatu yang berguna tentang perangkat yang saya gunakan merekomendasikan.
Sementara itu, saya bisa mengarahkan orang ke kamera keamanan dengan penyimpanan lokal untuk mencoba dan menghindari menyimpan rekaman pribadi Anda di server perusahaan (dan menghemat biaya bulanan). Tapi itu tidak selalu menjadi jaminan keamanan; contohnya, kami biasa memuji kamera Eufy sebagai opsi penyimpanan lokal sebelum banyak masalahnya terungkap.