Imágenes Getty | Bloomberg
Una demanda de la Comisión Federal de Comercio presentada ayer acusó a Ring, la compañía de cámaras de seguridad para el hogar propiedad de Amazon, de invadir la privacidad de los usuarios al «permitir que miles de empleados y contratistas vean grabaciones de video de los espacios privados de los clientes».
Hasta septiembre de 2017, todos los empleados de Ring y un contratista con sede en Ucrania tenían acceso a los videos de los clientes, que se almacenaban sin encriptar, dijo la FTC. «Ring le dio a cada empleado, así como a cientos de contratistas externos con sede en Ucrania, acceso completo a todos los videos de los clientes, independientemente de si el empleado o contratista realmente necesitaba ese acceso para realizar su función laboral», dijo la FTC.
Las violaciones no se detuvieron en 2017 a pesar de los nuevos controles de acceso, según la demanda, que alega invasiones de privacidad tanto antes como después de que Amazon compró Ring en 2018. La demanda de la FTC en el Tribunal de Distrito de EE. UU. para el Distrito de Columbia también alega que Ring no implementó de inmediato protecciones básicas de privacidad y seguridad, lo que facilita que los piratas informáticos se apoderen de las cuentas y cámaras de los clientes. Un acuerdo que está pendiente de la aprobación de un juez requeriría que Ring pague $ 5.8 millones por reembolsos a los clientes, elimine ciertos tipos de datos e implemente controles de privacidad y seguridad. Amazon no admitió ninguna irregularidad.
En un comunicado de prensa, la FTC dijo que «Ring engañó a sus clientes al no restringir el acceso de los empleados y contratistas a los videos de sus clientes, usar los videos de los clientes para entrenar algoritmos, entre otros fines, sin consentimiento, y al no implementar salvaguardas de seguridad». .» En un caso, un empleado «vio miles de grabaciones de video pertenecientes a usuarias de cámaras Ring que vigilaban espacios íntimos en sus hogares, como sus baños o dormitorios», dijo la FTC.
Eso supuestamente ocurrió entre junio y agosto de 2017 e invadió la privacidad de al menos 81 usuarias de productos Ring. «El empleado no fue detenido hasta que otro empleado descubrió la mala conducta. Incluso después de que Ring impusiera restricciones sobre quién podía acceder a los videos de los clientes, la empresa no pudo determinar cuántos otros empleados accedieron de manera inapropiada a videos privados porque Ring no implementó las medidas básicas. para monitorear y detectar el acceso a videos de los empleados», dijo la FTC.
En una acción separada anunciada ayer, la FTC y el Departamento de Justicia de EE. UU. acusaron a Amazon de violar la Ley de protección de la privacidad en línea de los niños (COPPA) «al mantener las grabaciones de voz de Alexa de los niños para siempre y socavar las solicitudes de eliminación de los padres». Un acuerdo pendiente obligaría a Amazon a pagar una multa de 25 millones de dólares; eliminar datos de niños, datos de geolocalización y otras grabaciones de voz; y tomar otras medidas para mejorar la privacidad.
Amazon reportó ventas netas de $127,400 millones e ingresos netos de $3,200 millones en el primer trimestre.
La FTC llama a la seguridad de Ring demasiado descuidada
La queja de la FTC contra Ring alegó que no implementó la autenticación multifactor y otras protecciones contra el relleno de credenciales y los ataques de fuerza bruta hasta 2019 y que la implementación de las medidas de seguridad fue demasiado descuidada. Ring puso a disposición la autenticación de dos factores en mayo de 2019 «pero no tomó medidas razonables para alentar su adopción, como a través de opciones fáciles de usar para clientes existentes y opciones de exclusión predeterminadas para nuevos usuarios», dice la denuncia. Menos del 2 por ciento de los clientes de Ring adoptaron la función de seguridad opcional en 2019.
La denuncia de la FTC decía:
Durante el transcurso de estos ataques, aproximadamente 55 000 clientes de EE. UU. sufrieron graves compromisos de cuenta. Para al menos 910 cuentas de EE. UU. (que afectaron a aproximadamente 1250 dispositivos), el malhechor no solo accedió a las cuentas, sino que también realizó acciones invasivas adicionales, como acceder a un video almacenado, acceder a una transmisión de video en vivo o ver el perfil de un cliente. Los malos actores apuntaron de manera desproporcionada a las cámaras interiores… en muchos casos, los malos actores no solo estaban viendo pasivamente los datos de video confidenciales de los clientes. Más bien, los malhechores aprovecharon la funcionalidad de comunicación bidireccional de la cámara para acosar, amenazar e insultar a las personas, incluidas personas mayores y niños, cuyas habitaciones estaban monitoreadas por cámaras Ring, y para activar alarmas y cambiar configuraciones importantes del dispositivo.
Ring también «implementó algunas formas de limitación de velocidad antes de julio de 2019», pero la limitación de velocidad no cubría todos los portales de autenticación y «no pudo bloquear múltiples intentos en rápida sucesión para iniciar sesión en diferentes cuentas desde la misma dirección IP», dijo la FTC. . Los 55 000 ataques de fuerza bruta y relleno de credenciales citados por la FTC supuestamente ocurrieron entre enero de 2019 y marzo de 2020.