FTC: Ring-medewerkers bespioneerden klanten door privéopnames te bekijken
Medewerkers van camerafabrikant Ring hebben klanten illegaal bespioneerd door privéopnames te bekijken. Daarnaast schoot de beveiliging van Ring te kort, waardoor aanvallers accounts konden kapen en toegang hadden tot live videostreams, opgeslagen video's en accountprofielen, zo stelt de Amerikaanse toezichthouder FTC die een zaak bij een Amerikaanse rechtbank heeft aangespannen.
Ring levert allerlei soorten camera's, onder andere deurbelcamera's en camera's die in woningen zijn te gebruiken, en werd begin 2018 door Amazon overgenomen. Volgens de FTC had Ring de toegang van personeel tot de videobeelden van klanten niet goed afgeschermd. Eén medewerker bleek maandenlang duizenden video-opnames te hebben bekeken van vrouwen. De beelden waren opgenomen in badkamers en slaapkamers. Pas nadat een andere medewerker dit ontdekte stopte de medewerker hiermee.
De FTC stelt dat Ring, doordat het nagelaten heeft basale maatregelen voor monitoring en detectie te implementeren, niet heeft kunnen bepalen hoeveel medewerkers illegaal de privéopnames van klanten hebben bekeken. Verder vroeg Ring ook geen toestemming om de beelden van klanten voor verschillende doeleinden te gebruiken, zoals het trainen van algoritmes, aldus de Amerikaanse toezichthouder.
Inadequate beveiligingsmaatregelen
Naast het niet goed afschermen van de video-opnames van klanten, stelt de FTC dat Ring ook de beveiliging van klantaccounts niet op orde had. Zo liet het bedrijf na om basale beveiligingsmaatregelen door te voeren. Daardoor konden aanvallers via credential stuffing-aanvallen toegang tot tienduizenden accounts krijgen. Bij credential stuffing worden eerder gelekte e-mailadressen en wachtwoorden gebruikt om op geautomatiseerde wijze toegang tot accounts te krijgen.
Aanvallers kijken of ze met inloggegevens die bij website A zijn gestolen ook op website B kunnen inloggen. De aanval is alleen mogelijk wanneer gebruikers hun wachtwoorden hergebruiken en bedrijven dergelijke geautomatiseerde aanvallen toestaan. Ring kreeg in 2017 en 2018 met meerdere credential stuffing-aanvallen te maken, maar voerde pas in 2019 pas een maatregel zoals multifactorauthenticatie (MFA) in. Daarnaast was de implementatie van aanvullende beveiligingsmaatregelen zo slordig, wat invloed op hun effectiviteit had, aldus de FTC.
Naast het implementeren van een privacy- en beveiligingsprogramma wil de FTC ook dat Ring 5,8 miljoen dollar betaalt. Dat geld zal gebruikt worden om klanten te vergoeden. Daarnaast moet Ring alle opnames die voor 2018 zijn gemaakt verwijderen, alsmede alle data die via gezichtsherkenning is verkregen. Als laatste moet het bedrijf de toezichthouder over incidenten of ongeautoriseerde toegang tot de klantvideo's informeren. De FTC heeft de klacht ingediend bij een Amerikaanse rechtbank.
Eerst maar eens bij de private bedrijven, en daarna ook overheidsinstanties.
Laat maar eens weten dat privacy een serieus onderdeel is van de samenleving.
Nu nog in het hele IoT landschap toepassen zodat we ook daar geen privacy problemen meer hebben.
e3a@3dG
Ohja... mensen snappen dat niet. En het is natuurlijk heel stoer om aan je vriendjes te kunnen laten zien wat jij allemaal kunt met je telefoon.
Eerst maar eens bij de private bedrijven, en daarna ook overheidsinstanties.
Laat maar eens weten dat privacy een serieus onderdeel is van de samenleving.
Nu nog in het hele IoT landschap toepassen zodat we ook daar geen privacy problemen meer hebben.
e3a@3dG
Maar dan precies andersom.
Ik hoef die rommel niet te kopen, de overheid blijft zich helaas ten alle tijden opdringen en ik mag er nog voor betalen ook.
Sowieso een rare spagaat, bedrijven moeten overal en nergens aan voldoen en owee als ze een telefoonnummer opslaan en de overheid verzamelt maar data van iedereen en alles en dat is allemaal maar prima.
Diezelfde overheid heeft vervolgens de mond vol over bedrijven. Hypocriete bende.
ze hangen heel hun sociaal leven aan amerikaanse websites, zij maken gebruik van banken die al hun gegevens aan de amerikanen geven (vpay, maestro) elke keer als ze pinnen of een transactie doen. wanneer ze vliegen weten de amerikanen het, ook wanneer het niet naar de vs is. en via clubjes als google en apple weten ze waar ze zijn, wat ze zeggen (vorige week nog uitgetest door 3 keer een (onzin) woord te gebruiken waarvan ik weet dat marketing ze kan gebruiken maar die ik letterlijk nergens anders geuit heb en waar ik nooit interesse in heb gehad, en voila, binnen 24 uur advertenties op youtube, marktplaats en mainstream media. vervolgens is dat nog niet genoeg en hebben ze siri, alexa en google home producten in huis die ze 24u/dag afluisteren en bij de deur filmen en loggen...
maar die chinezen!@
Ik gebruik alleen nog maar Amerikaanse/Nederlandse apps!
Joost
nog uitgetest door 3 keer een (onzin) woord te gebruiken waarvan ik weet dat marketing ze kan gebruiken maar die ik letterlijk nergens anders geuit heb en waar ik nooit interesse in heb gehad, en voila, binnen 24 uur advertenties op youtube, marktplaats en mainstream media.
Iemand die blijkbaar geen adblocker gebruikt en dan klagen over stupiditeit van anderen...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
