Ring, należący do Amazona producent urządzeń do monitoringu wideo, zapłaci 5,8 miliona dolarów w związku z roszczeniami Federalnej Komisji Handlu, która twierdzi, że pracownicy i podwykonawcy Ringu mieli przez lata szeroki i nieograniczony dostęp do filmów klientów.
Ugoda została złożona w Sądzie Okręgowym Stanów Zjednoczonych dla Dystryktu Kolumbii w środę. FTC potwierdziła ugodę niedługo później. Wiadomość o ugodzie jako pierwszy podała Reuters.
FTC stwierdziła, że pracownicy i kontrahenci Ring byli w stanie przeglądać, pobierać i przesyłać poufne dane wideo klientów do własnych celów w wyniku „niebezpiecznie szerokiego dostępu i luźnego podejścia do prywatności i bezpieczeństwa”.
Zgodnie ze skargą FTC firma Ring zapewniła „każdemu pracownikowi – a także setkom wykonawców zewnętrznych z siedzibą na Ukrainie – pełny dostęp do każdego filmu wideo klienta, niezależnie od tego, czy pracownik lub wykonawca faktycznie potrzebował tego dostępu do wykonywania swojej funkcji służbowej”. FTC stwierdziła również, że pracownicy i kontrahenci Ring „mogą również łatwo pobierać dowolne filmy wideo klientów, a następnie do woli przeglądać, udostępniać lub ujawniać te filmy”.
FTC zarzuciła co najmniej dwa razy, że pracownicy Ring bezprawnie uzyskali dostęp do prywatnych filmów kobiet. W jednym z przypadków FTC stwierdziło, że szpiegowanie pracownika trwało miesiącami i nie zostało wykryte przez Ring.
Zgodnie z projektem zawiadomienia, które Ring planuje wysłać zainteresowanym klientom, osoby te nie są już zatrudnione przez Ring.
W skardze rządu stwierdzono również, że Ring nie odpowiedział na wiele doniesień o upychaniu danych uwierzytelniających – w których hakerzy wykorzystują skradzione dane uwierzytelniające użytkownika z jednego naruszenia danych, aby włamać się na konta przy użyciu tych samych danych uwierzytelniających w innych witrynach. FTC stwierdziło, że Ring zezwalał na używanie łatwych do odgadnięcia haseł – tak prostych jak „hasło” i „12345678” – co ułatwiło brutalne wymuszanie kont, a Ring nie zadziałał wcześniej, aby zapobiec włamaniom na konta.
FTC twierdzi, że w rezultacie konta ponad 55 000 amerykańskich klientów zostały przejęte w okresie od stycznia 2019 r. do marca 2020 r. W kilkunastu przypadkach hakerzy utrzymywali dostęp do zhakowanych kont przez ponad miesiąc.
Następnie Ring wprowadził obowiązek uwierzytelniania dwuetapowego dla użytkowników w lutym 2020 r. Ring wprowadził szyfrowanie typu end-to-end w 2021 r., umożliwiając użytkownikom szyfrowanie wideo z dzwonka do drzwi od kogokolwiek innego niż oni sami — w tym Ring.
Oprócz zapłacenia 5,8 miliona dolarów w celu uregulowania zarzutów FTC, Ring zgodził się również ustanowić i utrzymywać program bezpieczeństwa danych z regularnymi ocenami przez następne 20 lat, a także ujawnić, jaki dostęp mają jego pracownicy i kontrahenci do danych klientów.
Rzeczniczka Ring, Emma Daniels, powiedziała w oświadczeniu wysłanym e-mailem do TechCrunch, że Ring nie zgadza się z zarzutami FTC i zaprzeczył naruszeniu prawa.
