Estou esperando o momento certo para revisar algumas câmeras de segurança internas antigas nos últimos meses. Não é sobre a marca (Blink) ou as câmeras (que funcionam muito bem até agora!). É que toda vez que me preparo para escrever sobre eles, notícias como o recente ataque de ransomware Ring ou a rede insegura de Eufy apareciam, e eu chutava minhas análises de câmeras de segurança para o futuro.
Por que? Porque estou ficando cada vez mais desconfortável em recomendar qualquer câmera de segurança ao saber se o back-end é seguro ou não tornou-se algo que apenas caçadores de recompensas e clarividentes poderiam lhe dizer com segurança.
Quando analiso um produto, tento ser o mais minucioso possível. Não porque eu queira fazer uma crítica ruim, mas porque é meu trabalho passar pelos comunicados de imprensa idealizados e folhas de especificações para ver as rachaduras sob a superfície.
Uma revisão positiva da câmera de segurança significa que consideramos sua segurança interna pelo valor de face, mas é difícil confiar em *qualquer* empresa de segurança hoje em dia.
você pode identificar alguns desses problemas com uma câmera de segurança, como se a qualidade do vídeo ou a detecção de IA não for aprovada. Mas mesmo com o melhores câmeras possíveis testamos e amamos, sempre há o espectro de alguma brecha desconhecida à espreita no horizonte.
Isso não é algo que eu (ou a maioria dos jornalistas de tecnologia) esteja qualificado para detectar. Com um smartphone, podemos testar a maioria dos softwares e segurança por nós mesmos, e os usuários têm controle quase total para bloquear ou permitir que os aplicativos os rastreiem. Com uma câmera de segurança, toda essa segurança de dados é tratada remotamente, e podemos apenas acreditar na palavra da empresa de que está protegendo seus dados com segurança.
O problema é que nós realmente não pode confiar em uma empresa de segurança para fazer uma avaliação honesta de sua segurança cibernética - se é que poderíamos.
Quer se especializem em hardware ou software, empresas como Última passagem ou Eufy tendem a ocultar quaisquer violações ativas por meses até que se tornem públicas e, em seguida, minimizam a gravidade com circunstâncias atenuantes e jargão técnico.
Mesmo com a empresa mais segura possível, basta um deslize de phishing ou salvaguardas inadequadas em um terceiro afiliado para transformar sua câmera de segurança em um gateway para alguém acessar seus feeds domésticos sem que você saiba.
Um fluxo interminável de incidentes perturbadores
vício relatou na semana passada que um fornecedor terceirizado associado ao Ring foi atingido pelo ransomware BlackCat; Os funcionários da Ring foram informados de que "não discuta nada sobre isso" e ainda não podemos ter certeza de quais dados do usuário estão em jogo se a Amazon não pagar.
Antes deste último incidente, o pesquisador de segurança Paul Moore descobriu que as câmeras Eufy estavam enviando imagens dos usuários e dados de reconhecimento facial para a nuvem sem seu conhecimento ou consentimento, que você pode transmitir qualquer umA câmera privada de Eufy é alimentada a partir de um navegador da Web e a criptografia AES 128 de Eufy foi facilmente quebrada porque usava chaves simples.
Eufy respondeu corrigindo alguns problemas e editando suas diretrizes de privacidade para garantir menos proteções para seus usuários, momento em que recomendamos que você jogue fora suas câmeras Eufy.
Em comparação com a escala épica da violação da câmera Verkada, durante a qual 150.000 câmeras podem ser acessadas por meio de uma senha mestra, as falhas mais conhecidas publicamente com sistemas de segurança residencial conhecidos eram relativamente pequenas e ocorreram há vários anos. Mas ainda há motivos para preocupação.
Em alguns casos, como no Wyze, eles esconderam uma grande vulnerabilidade com o Wyze Cam v1 por três anos até que Bitdefender os expôs. Mesmo que "um invasor externo [possa] acessar o feed da câmera ou executar um código malicioso para comprometer ainda mais o dispositivo", Wyze justificou-se dizendo que o hacker precisaria obter acesso ao seu Wi-Fi doméstico e corrigiu o problema em suas câmeras mais recentes.
Antes do incidente de ransomware da Ring, ela se viu envolvida em críticas quando uma fonte disse ao The Intercept que os contratados da Ring podiam assistir às filmagens dos clientes com nada além de um endereço de e-mail e que os executivos da Ring achavam que criptografar as imagens "tornaria a empresa menos valiosa".
A Ring eventualmente cedeu e criptografou suas câmeras, mas ainda atrai críticas frequentes por fornecer a filmagem da campainha da Ring à polícia. sem consentimento do usuário.
Um técnico da ADT acessou feeds domésticos 9.600 vezes sob o pretexto de testar os sistemas para espionar clientes do sexo feminino sem o seu conhecimento, por Revista de segurança. A Brinks Home acidentalmente deu aos clientes acesso aos nomes, endereços e números de telefone de outros usuários, mas levou meses para corrigir o problema depois que um cliente os alertou, relata Vendas de segurança.
Eu poderia continuar, ou você poderia facilmente pesquisar no Google sua empresa de segurança favorita, adicionar "violação" no final e ver algumas histórias perturbadoras.
Aceitando o desconhecido
Meu ponto geral é simples: até empresas de segurança populares com criptografia aparentemente inexpugnável farão decisões que deixam seus dados privados ou feeds domésticos vulneráveis - ou contratar alguém que explora seu poder em maneiras perturbadoras. E uma vez que a empresa descobre, não há absolutamente nenhuma garantia você vai descubra a menos que alguém denuncie ou um especialista em segurança detecte seu erro.
Nesse ambiente, revisando alegremente qualquer câmera de segurança da empresa por seus méritos e recomendá-la aos meus leitores parece irresponsável. É meu trabalho para fazer isso, e escreverei sobre o Blink Indoor e o Blink Mini assim que ficar claro como sua empresa-mãe lida com o ataque de ransomware Ring.
Podemos revisar as câmeras de segurança por seus méritos internos, mas não podemos revisar os fatores externos que podem minar tudo o que há de útil nelas.
Mas, ao fazer isso, terei que incluir uma grande ressalva de que simplesmente não sei qual é o elo mais fraco do Blink (ou de qualquer empresa) - um funcionário sem escrúpulos, uma equipe de terceiros não confiável, criptografia fraca ou algo totalmente diferente - isso pode minar tudo de útil sobre o dispositivo que estou recomendando.
Enquanto isso, posso indicar às pessoas câmeras de segurança com armazenamento local para tentar evitar manter sua filmagem privada em servidores da empresa (e economizar em taxas mensais). Mas isso nem sempre é garantia de segurança; caso em questão, costumávamos elogiar as câmeras da Eufy como uma opção de armazenamento local antes que seus muitos problemas viessem à tona.