Der Smart-Home-Hersteller Eufy war von einem massiven Sicherheitsproblem betroffen. Wie User auf Reddit und sozialen Medien dokumentieren, hatten sie plötzlich über die Eufy-App Zugriff auf fremde Systeme, statt auf ihr eigenes.

Den Schilderungen zufolge waren sie plötzlich im Namen anderer Nutzer, teilweise aus anderen Ländern und Zeitzonen, eingeloggt. Dort konnten sie nicht nur die Liveaufnahmen ihrer Überwachungskameras sehen, sondern hatten auch Zugriff auf alle Funktionen – etwa Aufnahmen anlegen und speichern – und Einsicht in alle über die App sichtbaren Kontodaten.

Nutzer meldeten Problem

"Ich habe heute meine App geöffnet (ich bin aus Neuseeland) und festgestellt, dass keine der Aufnahmen meine eigenen sind. Sie sind von jemandem in einem anderen Land (netter Mustang)", schreibt etwa Reddit-Nutzer MeChum87. Zudem seien auch Kontaktdaten und die Namen der Konten sichtbar gewesen, die zum System hinzugefügt worden waren.

"Ich habe drei kleine Kinder und bin jetzt sehr besorgt, dass andere jetzt auf meine Kameras Zugriff haben. (…) Ich werde meine Eufycam in den Müll werfen und schlage vor, dass ihr das auch tut", so die oder der Betroffene abschließend.

Andere Schilderungen ähneln diesem Erlebnis. Manche schreiben, dass Ausloggen und Wiedereinloggen Ihnen wieder Zugriff auf ihre eigenen Kameras ermöglicht habe. Es soll auch zu Vorfällen gekommen sein, in denen Fremde über die Fernsprechfunktion versucht haben, Kontakt mit Kindern im Blickfeld der Kamera aufzunehmen, berichtet Apple Insider.

Nutzer aus sieben Ländern betroffen

Eufy, vor allem bekannt als Teil der Anker-Gruppe und einer der größten Staubsaugerroboter-Hersteller der Welt, hat am Montagnachmittag auf eine STANDARD-Anfrage reagiert. Man gestand das Problem ein, erklärte aber, dass dieses nur etwa 0,001 Prozent der eigenen Nutzer betroffen habe. Konkret hatte es einen Teil der User in den USA, Neuseeland, Australien, Mexiko, Brasilien, Argentinien und Kuba erwischt, aber keine europäischen Accounts. Das Leck sei außerdem auf die Kameras beschränkt, die Alarmanlagen, Babyphones, Smartlocks und PetCare-Produkte seien nicht betroffen gewesen.

Entstanden ist das Problem laut Eufy bei einem Serverupdate, das gegen 11 Uhr MEZ ausgespielt wurde. Es sei 40 Minuten später erkannt und rund eine Stunde später behoben worden. Man habe bereits begonnen, Betroffene zu kontaktieren. "Wir sind uns bewusst, dass wir als Sicherheitsunternehmen nicht gut genug gearbeitet haben", entschuldigt man sich. "Es tut uns leid, dass wir hier zu kurz gekommen sind und wir arbeiten an neuen Sicherheitsprotokollen und -maßnahmen, um sicherzustellen, dass dies nie wieder passiert."

Es empfehlen sich jedenfalls Vorsichtsmaßnahmen: Nutzer aus den betreffenden Ländern sollten ihre Kontoeinstellungen auf Veränderungen prüfen sowie sicherheitshalber ihre Passwörter ändern. Zudem bietet Eufy Zwei-Faktor-Authentifizierung an, die ebenfalls dringend aktiviert werden sollte. (gpi, 17.5.2021)

Update, 21:10 Uhr: Stellungnahme von Eufy ergänzt und Artikeltext entsprechend an den neuen Stand angepasst.