FTC diz que funcionários da Ring vigiaram clientes ilegalmente e falharam em impedir que hackers assumissem o controle das câmeras dos usuários

Mar 27, 2023

Tag:

A Federal Trade Commission acusou a empresa de câmeras de segurança doméstica Ring de comprometer a privacidade de seus clientes, permitindo que qualquer funcionário ou contratado acesse vídeos privados dos consumidores e falhando em implementar proteções básicas de privacidade e segurança, permitindo que hackers assumam o controle das contas, câmeras e câmeras dos consumidores e vídeos.

Sob uma ordem proposta, que deve ser aprovada por um tribunal federal antes de entrar em vigor, a Ring será obrigada a excluir produtos de dados, como dados, modelos e algoritmos derivados de vídeos que revisou ilegalmente. Também será necessário implementar um programa de privacidade e segurança com novas salvaguardas na revisão humana de vídeos, bem como outros controles de segurança rigorosos, como autenticação multifatorial para contas de funcionários e clientes.

"O desrespeito da Ring pela privacidade e segurança expôs os consumidores a espionagem e assédio", disse Samuel Levine, diretor do Bureau de Proteção ao Consumidor da FTC. "A ordem da FTC deixa claro que colocar o lucro acima da privacidade não compensa."

A Ring LLC, com sede na Califórnia, que foi comprada pela Amazon em fevereiro de 2018, vende câmeras de segurança doméstica habilitadas para vídeo e conectadas à Internet, campainhas e acessórios e serviços relacionados. A empresa comercializou seus produtos como oferecendo maior segurança doméstica e proporcionando tranquilidade aos usuários. Por exemplo, ao promover suas câmeras de segurança internas, que podem ser colocadas em quartos individuais, a Ring promove a capacidade dos compradores de "ver sua casa. Longe de casa" ao lado de uma foto de uma câmera Ring monitorando o quarto de uma criança.

Em uma reclamação, a FTC diz que a Ring enganou seus clientes ao não restringir o acesso de funcionários e contratados aos vídeos de seus clientes, ao usar vídeos de clientes para treinar algoritmos, entre outros propósitos, sem consentimento e ao não implementar salvaguardas de segurança.

De acordo com a denúncia, essas falhas equivalem a violações flagrantes da privacidade dos usuários. Por exemplo, um funcionário durante vários meses visualizou milhares de gravações de vídeo pertencentes a usuárias de câmeras Ring que vigiavam espaços íntimos em suas casas, como banheiros ou quartos. O funcionário não foi parado até que outro funcionário descobriu a má conduta. Mesmo depois que a Ring impôs restrições sobre quem poderia acessar os vídeos dos clientes, a empresa não conseguiu determinar quantos outros funcionários acessaram vídeos privados de forma inadequada porque a Ring falhou em implementar medidas básicas para monitorar e detectar o acesso aos vídeos dos funcionários.

A FTC também disse que a Ring não tomou nenhuma medida até janeiro de 2018 para notificar adequadamente os clientes ou obter seu consentimento para uma extensa revisão humana das gravações de vídeo privadas dos clientes para vários fins, incluindo algoritmos de treinamento. A Ring enterrou informações em seus Termos de Serviço e Política de Privacidade, alegando que tinha o direito de usar as gravações obtidas em conexão com seus serviços para "melhoria e desenvolvimento de produtos", de acordo com a denúncia.

De acordo com a denúncia, a Ring também falhou em implementar medidas de segurança padrão para proteger as informações dos consumidores de duas ameaças on-line bem conhecidas - ataques de "preenchimento de credenciais" e "força bruta" - apesar dos avisos de funcionários, pesquisadores de segurança externos e relatórios da mídia. O preenchimento de credenciais envolve o uso de credenciais, como nomes de usuário e senhas, obtidas da conta violada de um consumidor para obter acesso a outras contas do consumidor. Em um ataque de força bruta, um malfeitor usa um processo automatizado de adivinhação de senha – por exemplo, percorrendo credenciais violadas ou inserindo senhas conhecidas – centenas ou milhares de vezes para obter acesso a uma conta.

Apesar de sofrer vários ataques de preenchimento de credenciais em 2017 e 2018, a Ring falhou, de acordo com a denúncia, em implementar táticas comuns - como autenticação multifator - até 2019. Mesmo assim, a implementação desleixada de Ring das medidas de segurança adicionais prejudicou sua eficácia, o FTC disse.