La FTC afferma che i dipendenti di Ring hanno sorvegliato illegalmente i clienti e non sono riusciti a impedire agli hacker di prendere il controllo delle telecamere degli utenti

Mar 27, 2023

tag:

La Federal Trade Commission ha accusato la società di telecamere di sicurezza domestica Ring di aver compromesso la privacy dei propri clienti consentendo a qualsiasi dipendente o appaltatore di accedere ai video privati ​​dei consumatori e non implementando le protezioni di base della privacy e della sicurezza, consentendo agli hacker di assumere il controllo degli account dei consumatori, delle telecamere e video.

In base a un ordine proposto, che deve essere approvato da un tribunale federale prima che possa entrare in vigore, Ring sarà tenuto a eliminare i prodotti dati come dati, modelli e algoritmi derivati ​​da video esaminati illegalmente. Sarà inoltre necessario implementare un programma di privacy e sicurezza con nuove salvaguardie sulla revisione umana dei video, nonché altri rigorosi controlli di sicurezza, come l’autenticazione a più fattori sia per gli account dei dipendenti che per quelli dei clienti.

"Il disprezzo di Ring per la privacy e la sicurezza ha esposto i consumatori a spionaggio e molestie", ha affermato Samuel Levine, direttore dell'Ufficio per la protezione dei consumatori della FTC. "L'ordine della FTC chiarisce che anteporre il profitto alla privacy non paga."

Ring LLC, con sede in California, acquistata da Amazon nel febbraio 2018, vende telecamere di sicurezza domestica, campanelli e relativi accessori e servizi connessi a Internet e abilitati per i video. L'azienda ha commercializzato i suoi prodotti offrendo maggiore sicurezza domestica e garantendo tranquillità ai propri utenti. Ad esempio, nel promuovere le sue telecamere di sicurezza interne, che possono essere posizionate in singole stanze, Ring sollecita la capacità degli acquirenti di "Vedere la tua casa. Lontano da casa" insieme all'immagine di una telecamera Ring che monitora la camera da letto di un bambino.

In una denuncia, la FTC afferma che Ring ha ingannato i propri clienti non limitando l'accesso dei dipendenti e degli appaltatori ai video dei propri clienti, utilizzando i video dei clienti per addestrare algoritmi, tra gli altri scopi, senza consenso e non implementando misure di sicurezza.

Secondo la denuncia, questi inadempimenti equivalevano a gravi violazioni della privacy degli utenti. Ad esempio, un dipendente ha visualizzato per diversi mesi migliaia di registrazioni video appartenenti a donne utilizzatrici di telecamere Ring che sorvegliavano gli spazi intimi delle loro case, come i bagni o le camere da letto. Il dipendente non è stato fermato finché un altro dipendente non ha scoperto la cattiva condotta. Anche dopo che Ring ha imposto restrizioni su chi poteva accedere ai video dei clienti, l'azienda non è stata in grado di determinare quanti altri dipendenti hanno avuto accesso in modo inappropriato ai video privati ​​perché Ring non ha implementato misure di base per monitorare e rilevare l'accesso ai video dei dipendenti.

La FTC ha inoltre affermato che Ring non ha adottato alcuna misura fino a gennaio 2018 per informare adeguatamente i clienti o ottenere il loro consenso per un'ampia revisione umana delle registrazioni video private dei clienti per vari scopi, inclusi gli algoritmi di formazione. Ring ha nascosto informazioni nei suoi Termini di servizio e nella Politica sulla privacy, sostenendo di avere il diritto di utilizzare le registrazioni ottenute in relazione ai suoi servizi per "miglioramento e sviluppo del prodotto", secondo il reclamo.

Secondo la denuncia, Ring non è riuscita a implementare misure di sicurezza standard per proteggere le informazioni dei consumatori da due ben note minacce online - "credential stuffing" e attacchi di "forza bruta" - nonostante gli avvertimenti dei dipendenti, dei ricercatori di sicurezza esterni e dei resoconti dei media. Il credential stuffing prevede l'uso di credenziali, come nomi utente e password, ottenute dall'account violato di un consumatore per ottenere l'accesso agli altri account del consumatore. In un attacco di forza bruta, un malintenzionato utilizza un processo automatizzato di identificazione della password, ad esempio scorrendo le credenziali violate o inserendo password conosciute, centinaia o migliaia di volte per ottenere l'accesso a un account.

Nonostante abbia subito numerosi attacchi di credential stuffing nel 2017 e nel 2018, secondo la denuncia Ring non è riuscita a implementare tattiche comuni, come l'autenticazione a più fattori, fino al 2019. Anche allora, l'implementazione sciatta delle misure di sicurezza aggiuntive da parte di Ring ha ostacolato la loro efficacia, secondo la FTC. disse.