Medewerkers van camerafabrikant Ring hebben klanten illegaal bespioneerd door privéopnames te bekijken. Daarnaast schoot de beveiliging van Ring te kort, waardoor aanvallers accounts konden kapen en toegang hadden tot live videostreams, opgeslagen video's en accountprofielen, zo stelt de Amerikaanse toezichthouder FTC die een zaak bij een Amerikaanse rechtbank heeft aangespannen.
Ring levert allerlei soorten camera's, onder andere deurbelcamera's en camera's die in woningen zijn te gebruiken, en werd begin 2018 door Amazon overgenomen. Volgens de FTC had Ring de toegang van personeel tot de videobeelden van klanten niet goed afgeschermd. Eén medewerker bleek maandenlang duizenden video-opnames te hebben bekeken van vrouwen. De beelden waren opgenomen in badkamers en slaapkamers. Pas nadat een andere medewerker dit ontdekte stopte de medewerker hiermee.
De FTC stelt dat Ring, doordat het nagelaten heeft basale maatregelen voor monitoring en detectie te implementeren, niet heeft kunnen bepalen hoeveel medewerkers illegaal de privéopnames van klanten hebben bekeken. Verder vroeg Ring ook geen toestemming om de beelden van klanten voor verschillende doeleinden te gebruiken, zoals het trainen van algoritmes, aldus de Amerikaanse toezichthouder.
Naast het niet goed afschermen van de video-opnames van klanten, stelt de FTC dat Ring ook de beveiliging van klantaccounts niet op orde had. Zo liet het bedrijf na om basale beveiligingsmaatregelen door te voeren. Daardoor konden aanvallers via credential stuffing-aanvallen toegang tot tienduizenden accounts krijgen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen.
Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Ring kreeg in 2017 en 2018 met meerdere credential stuffing-aanvallen te maken, maar voerde pas in 2019 pas een maatregel zoals multifactorauthenticatie (MFA) in. Daarnaast was de implementatie van aanvullende beveiligingsmaatregelen zo slordig, wat invloed op hun effectiviteit had, aldus de FTC.
Naast het implementeren van een privacy- en beveiligingsprogramma wil de FTC ook dat Ring 5,8 miljoen dollar betaalt. Dat geld zal gebruikt worden om klanten te vergoeden. Daarnaast moet Ring alle opnames die voor 2018 zijn gemaakt verwijderen, alsmede alle data die via gezichtsherkenning is verkregen. Als laatste moet het bedrijf de toezichthouder over incidenten of ongeautoriseerde toegang tot de klantvideo's informeren. De FTC heeft de klacht ingediend bij een Amerikaanse rechtbank.
Deze posting is gelocked. Reageren is niet meer mogelijk.