La FTC dice que los empleados de Ring vigilaron ilegalmente a los clientes y no lograron evitar que los piratas informáticos tomaran el control de las cámaras de los usuarios

Mar 27, 2023

Etiquetas:

La Comisión Federal de Comercio acusó a la empresa de cámaras de seguridad para el hogar Ring de comprometer la privacidad de sus clientes al permitir que cualquier empleado o contratista acceda a los videos privados de los consumidores y al no implementar protecciones básicas de privacidad y seguridad, lo que permite a los piratas informáticos tomar el control de las cuentas de los consumidores, cámaras y vídeos.

Según una orden propuesta, que debe ser aprobada por un tribunal federal antes de que pueda entrar en vigencia, Ring deberá eliminar productos de datos como datos, modelos y algoritmos derivados de videos que revisó ilegalmente. También será necesario implementar un programa de privacidad y seguridad con salvaguardas novedosas sobre la revisión humana de videos, así como otros controles de seguridad estrictos, como la autenticación de múltiples factores para las cuentas de empleados y clientes.

"El desprecio de Ring por la privacidad y la seguridad expuso a los consumidores al espionaje y al acoso", dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. "La orden de la FTC deja en claro que anteponer las ganancias a la privacidad no es rentable".

Ring LLC, con sede en California, que fue comprada por Amazon en febrero de 2018, vende cámaras de seguridad para el hogar, timbres y accesorios y servicios relacionados conectados a Internet y habilitados para video. La empresa ha comercializado sus productos como productos que ofrecen una mayor seguridad en el hogar y brindan tranquilidad a sus usuarios. Por ejemplo, al promocionar sus cámaras de seguridad para interiores, que se pueden colocar en habitaciones individuales, Ring promociona la capacidad de los compradores de "Ver su hogar. Fuera de casa" junto con una imagen de una cámara Ring que supervisa la habitación de un niño.

En una queja, la FTC dice que Ring engañó a sus clientes al no restringir el acceso de los empleados y contratistas a los videos de sus clientes, usar los videos de los clientes para entrenar algoritmos, entre otros propósitos, sin consentimiento, y al no implementar medidas de seguridad.

Según la denuncia, estas fallas equivalían a violaciones flagrantes de la privacidad de los usuarios. Por ejemplo, un empleado vio durante varios meses miles de grabaciones de video pertenecientes a usuarias de cámaras Ring que vigilaban espacios íntimos en sus hogares, como sus baños o dormitorios. El empleado no fue detenido hasta que otro empleado descubrió la mala conducta. Incluso después de que Ring impusiera restricciones sobre quién podía acceder a los videos de los clientes, la empresa no pudo determinar cuántos otros empleados accedieron de manera inapropiada a videos privados porque Ring no implementó medidas básicas para monitorear y detectar el acceso a videos de los empleados.

La FTC también dijo que Ring no tomó ninguna medida hasta enero de 2018 para notificar adecuadamente a los clientes u obtener su consentimiento para una revisión humana exhaustiva de las grabaciones de video privadas de los clientes para diversos fines, incluidos los algoritmos de capacitación. Ring ocultó información en sus Términos de servicio y Política de privacidad, alegando que tenía derecho a utilizar las grabaciones obtenidas en relación con sus servicios para "mejorar y desarrollar productos", según la denuncia.

Según la denuncia, Ring tampoco implementó medidas de seguridad estándar para proteger la información de los consumidores de dos conocidas amenazas en línea: "relleno de credenciales" y ataques de "fuerza bruta", a pesar de las advertencias de los empleados, investigadores de seguridad externos e informes de los medios. El relleno de credenciales implica el uso de credenciales, como nombres de usuario y contraseñas, obtenidas de la cuenta violada de un consumidor para obtener acceso a otras cuentas de un consumidor. En un ataque de fuerza bruta, un malhechor utiliza un proceso automatizado de adivinación de contraseñas, por ejemplo, pasando por las credenciales violadas o ingresando contraseñas conocidas, cientos o miles de veces para obtener acceso a una cuenta.

A pesar de experimentar múltiples ataques de relleno de credenciales en 2017 y 2018, según la denuncia, Ring no implementó tácticas comunes, como la autenticación multifactor, hasta 2019. Incluso entonces, la implementación descuidada de Ring de las medidas de seguridad adicionales obstaculizó su efectividad, la FTC dicho.

Como resultado, los piratas informáticos continuaron explotando las vulnerabilidades de las cuentas para acceder a videos almacenados, transmisiones de videos en vivo y perfiles de cuentas de aproximadamente 55,000 clientes de EE. UU., según la denuncia. Los malos actores no solo vieron los videos de algunos clientes, sino que también usaron la funcionalidad bidireccional de las cámaras Ring para acosar, amenazar e insultar a los consumidores, incluidas personas mayores y niños, cuyas habitaciones eran monitoreadas por cámaras Ring, y para cambiar configuraciones importantes del dispositivo, el dijo la FTC. Por ejemplo, los piratas informáticos se burlaron de varios niños con insultos racistas, propusieron a individuos sexualmente y amenazaron a una familia con daño físico si no pagaban un rescate.

Además del programa obligatorio de privacidad y seguridad, la orden propuesta exige que Ring pague 5,8 millones de dólares, que se utilizarán para reembolsos a los consumidores. La empresa también deberá eliminar los videos de los clientes y las incrustaciones de rostros, los datos recopilados del rostro de una persona que obtuvo antes de 2018, y eliminar cualquier producto de trabajo derivado de estos videos. La orden propuesta también requerirá que Ring alerte a la FTC sobre incidentes de acceso no autorizado o exposición de los videos de sus clientes y notifique a los consumidores sobre la acción de la FTC.

La Comisión votó 3-0 para autorizar al personal a presentar la denuncia y estipuló orden final. La FTC presentó la demanda y la orden final en el Tribunal de Distrito de los EE. UU. para el Distrito del Distrito de Columbia.

NOTA: La Comisión presenta una denuncia cuando tiene "razones para creer" que los acusados ​​mencionados están violando o están a punto de violar la ley y le parece a la Comisión que un procedimiento es de interés público. Las órdenes finales estipuladas tienen fuerza de ley cuando son aprobadas y firmadas por el juez del Tribunal de Distrito.

Los abogados principales del personal en este asunto son Elisa Jillson, Andy Hasty y Julia Horwitz de la Oficina de Protección al Consumidor de la FTC.

La Comisión Federal de Comercio trabaja para promover la competencia y proteger y educar a los consumidores. Obtenga más información sobre temas relacionados con el consumidor en consumer.ftc.gov, o denuncie fraudes, estafas y malas prácticas comerciales en ReportFraud.ftc.gov. Siga a la FTC en las redes sociales, lea las alertas para consumidores y el blog empresarial, e inscríbase para recibir las últimas noticias y alertas de la FTC.