Федеральная торговая комиссия заявила, что сотрудники Ring незаконно следили за клиентами и не смогли помешать хакерам захватить контроль над камерами пользователей

Mar 27, 2023

Теги:

Федеральная торговая комиссия обвинила компанию Ring, производящую камеры домашней безопасности, в компрометации конфиденциальности своих клиентов, предоставляя любому сотруднику или подрядчику доступ к личным видео потребителей, а также в неспособности реализовать базовые меры защиты конфиденциальности и безопасности, что позволяет хакерам брать под контроль учетные записи потребителей и камеры. и видео.

В соответствии с предлагаемым приказом, который должен быть одобрен федеральным судом, прежде чем он вступит в силу, Ring будет обязана удалить продукты данных, такие как данные, модели и алгоритмы, полученные из видео, которые она незаконно просмотрела. Также потребуется внедрить программу конфиденциальности и безопасности с новыми гарантиями при просмотре видео людьми, а также другими строгими мерами безопасности, такими как многофакторная аутентификация для учетных записей как сотрудников, так и клиентов.

«Игнорирование компанией Ring вопросов конфиденциальности и безопасности подвергало потребителей риску шпионажа и преследований», — сказал Сэмюэл Левин, директор Бюро по защите прав потребителей Федеральной торговой комиссии. «Приказ Федеральной торговой комиссии ясно дает понять, что ставить прибыль выше конфиденциальности не окупается».

Калифорнийская компания Ring LLC, приобретенная Amazon в феврале 2018 года, продает подключенные к Интернету камеры домашней безопасности с поддержкой видео, дверные звонки и сопутствующие аксессуары и услуги. Компания позиционирует свою продукцию как обеспечивающую большую безопасность дома и обеспечивающую спокойствие пользователям. Например, рекламируя свои внутренние камеры видеонаблюдения, которые можно размещать в отдельных комнатах, компания Ring рекламирует возможность покупателей «видеть свой дом. Вдали от дома» рядом с изображением камеры Ring, наблюдающей за детской спальней.

В жалобе Федеральная торговая комиссия утверждает, что компания Ring обманула своих клиентов, не сумев ограничить доступ сотрудников и подрядчиков к видео своих клиентов, используя видео клиентов для обучения алгоритмов, среди прочего, без согласия, а также не сумев реализовать меры безопасности.

Согласно жалобе, эти сбои представляют собой вопиющее нарушение конфиденциальности пользователей. Например, один сотрудник за несколько месяцев просмотрел тысячи видеозаписей, принадлежащих женщинам-пользователям камер Ring, которые вели наблюдение за интимными местами в их домах, такими как ванные комнаты или спальни. Сотрудника не останавливали до тех пор, пока другой сотрудник не обнаружил проступок. Даже после того, как Ring ввела ограничения на доступ к видео клиентов, компания не смогла определить, сколько других сотрудников неправомерно получили доступ к частным видео, поскольку Ring не смогла реализовать базовые меры для мониторинга и обнаружения доступа сотрудников к видео.

Федеральная торговая комиссия также заявила, что до января 2018 года компания Ring не предприняла никаких шагов для надлежащего уведомления клиентов или получения их согласия на обширную проверку людьми частных видеозаписей клиентов для различных целей, включая алгоритмы обучения. Согласно жалобе, компания Ring скрыла информацию в своих Условиях обслуживания и Политике конфиденциальности, заявив, что имеет право использовать записи, полученные в связи с ее услугами, для «улучшения и развития продукта».

Согласно жалобе, Ring также не смогла реализовать стандартные меры безопасности для защиты информации потребителей от двух известных онлайн-угроз — «подброса учетных данных» и атак «грубой силы» — несмотря на предупреждения сотрудников, сторонних исследователей безопасности и сообщения СМИ. Подстановка учетных данных предполагает использование учетных данных, таких как имена пользователей и пароли, полученных из взломанной учетной записи потребителя, для получения доступа к другим учетным записям потребителя. При атаке методом перебора злоумышленник использует автоматический процесс подбора пароля — например, циклически перебирая взломанные учетные данные или вводя хорошо известные пароли — сотни или тысячи раз, чтобы получить доступ к учетной записи.

Несмотря на многочисленные атаки с подбросом учетных данных в 2017 и 2018 годах, Ring, согласно жалобе, не смогла внедрить общие тактики, такие как многофакторная аутентификация, до 2019 года. сказал.