California merkezli Ring LLC, herhangi bir çalışanın veya yüklenicinin tüketicilerin özel görüntülerini görmesine izin vererek ve temel gizlilik ve güvenlik kontrollerini uygulamayarak bilgisayar korsanlarının tüketicilerin hesaplarının, kameralarının ve videolarının kontrolünü ele geçirmesine olanak tanıyarak müşterilerinin gizliliğini tehlikeye attı.
Amazon’un Şubat 2018’de satın aldığı Ring LLC, internet bağlantılı, video özellikli ev güvenlik kameraları, kapı zilleri ve ilgili aksesuar ve hizmetler üretiyor.
Raporlar, her Amazon Ring çalışanının, görevleri için gerekli olmasa bile her müşteri videosuna erişimi olduğunu söylüyor.
Ek olarak, Temmuz 2017’den önce, personel üyeleri bu kayıtlardan herhangi birini alabilir, saklayabilir ve Ukrayna’daki üçüncü taraf bir yüklenicinin personeli ile istedikleri gibi paylaşabilirler.
Amazon’un 5,8 milyon dolar ceza ödemek zorunda kalabileceği yakın tarihli bir davada FTC’nin iddia ettiği şey buydu.
FTC’nin Tüketiciyi Koruma Bürosu Direktörü Samuel Levine, “Ring’in mahremiyet ve güvenliğe aldırış etmemesi tüketicileri casusluk ve tacize maruz bıraktı” dedi.
“FTC’nin emri, karı gizliliğin üzerine koymanın işe yaramadığını açıkça ortaya koyuyor.”
Ring, Personel İzleme ve Tespit İçin Temel Prosedürleri Ayarlayamıyor
Şikayete göre, örneğin, bir çalışan, birkaç ay boyunca, evlerindeki banyolar veya yatak odaları gibi kişisel yerleri izleyen Ring kameraların kadın kullanıcılarına ait binlerce video kaydına baktı.
Başka bir çalışan uygunsuz davranışı fark edene kadar çalışan durdurulmadı. Ring, müşterilerin videolarını kimlerin görebileceği konusunda kısıtlamalar getirdiğinde bile, şirket kaç ek çalışanın özel filmlere uygunsuz bir şekilde eriştiğini belirleyemedi çünkü Ring, çalışanların video erişimini izlemek ve tespit etmek için temel adımları uygulamadı.
FTC’ye göre, bir Ring çalışanının en az 81 farklı kadın kullanıcıdan yüzlerce kayıt gördüğü iddia ediliyor.
Çalışan, Haziran ve Ağustos 2017 arasında yüzlerce gün boyunca videoları her gün en az bir saat izledi. Amirleri, başka bir çalışanın kendileriyle sorunu dile getirmesinin ardından bir mühendisin bu kadar çok hesabı görüntülemesinin “normal” olduğunu söyledi.
“Yalnızca yönetici, erkek çalışanın yalnızca “güzel kızların” videolarını izlediğini fark ettikten sonra, görevi kötüye kullanma şikayetini artırdı. Ring, yalnızca bu noktada çalışanın faaliyetinin bir bölümünü gözden geçirdi ve nihayetinde bir FTC şikayetine dayanarak işine son verdi.
Ocak 2018’de bir erkek çalışan, e-posta adresini kullanarak bir kadın iş arkadaşı aradı ve onun erişim ayrıcalıklarını kullanarak onun videolarını izledi.
Mühendislerin (çalışanlar ve bağımsız yükleniciler dahil), yalnızca çalışanların erişim izinlerinin daha da kısıtlandığı Şubat 2018’de bir iş gereksinimi olması durumunda müşteri filmlerine erişimine izin verildi.
Ring, erişim politikalarını Şubat 2019’da yeniden değiştirdi, böylece çalışanlarının ve yüklenicilerinin çoğu, bir müşterinin özel videosunu yalnızca o müşterinin izniyle görüntüleyebilirdi.
FTC, erişimin kötüye kullanılması ve gözetlenmesiyle ilgili daha fazla örnek sağlar. Tespit prosedürleri olmadığı için, Ring’in ne kadar yetkisiz erişim gerçekleştiği hakkında hiçbir fikri olmadığı iddia ediliyor.
Müşteriler, bu kadar çok personelin videolarını görüntüleyebileceğinin farkında değildi. FTC’ye göre, Ring’in Hizmet Şartları ve Gizlilik Politikası, çalışanlarının ve yüklenicilerinin Aralık 2017’den önce ürünlerini geliştirmek ve iyileştirmek için tüm video kayıtlarını inceleyebileceklerini belirtmiyordu.
Ring az önce işletmenin (o zamanki adıyla Doorbot’un) bulut hizmetiyle birlikte yapılan kayıtları ürün geliştirme için uzun, yasal terimlerle dolu şartların ortasında kullanma iznini açıkladı.
Ring, MFA Kullanamıyor ve Tehditlere Karşı Korunamıyor
FTC, Ring’in Mayıs 2019’a kadar, birçok rakibin uyguladığı çok faktörlü kimlik doğrulamayı (MFA) uygulamayı başaramadığını ve ayrıca çalışanları ve dış güvenlik araştırmacılarının kullanıcıları kimlik bilgileri doldurma ve kaba kuvvet saldırıları gibi tehditlere karşı korumak için yaptığı uyarıları dikkate almadığını iddia ediyor.
FTC, Ocak 2019 ile Mart 2020 arasında 55.000’den fazla kullanıcının Ring cihazlarının güvenliğinin ihlal edildiğini iddia ediyor.
Siber suçlular, sanki bir korku filminden fırlamış gibi, Ring tüketicilerini terörize etmek için ara sıra iki yönlü sohbeti istismar ettiler: Yatakta birkaç kadın bilgisayar korsanlarının kendilerine küfrettiğini duydu, birkaç çocuğa ırkçı hakaretler denildi ve çok daha fazlası.
DOJ Şikayette Bulundu
Adalet Bakanlığı, FTC adına şikayet ve uzlaşma teklifinde bulundu.
Amazon, genç kullanıcılarla bağlantılı Alexa ses ve coğrafi konum verilerini yıllarca elinde tutarak Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA) kuralını ihlal etmekle suçlanırken, ebeveynlerin çocuklarının verilerinin silinmesini talep etme haklarını kullanmalarını yasakladı.
Bir blog yazısında FTC, çocukların konuşma kalıpları yetişkinlerden farklı olduğu için Amazon için özellikle faydalı olabileceğini belirtti:
“Çocukların konuşma kalıpları yetişkinlerden önemli ölçüde farklıdır, bu nedenle Alexa’nın ses kayıtları, Amazon’a Alexa algoritmasını eğitmek ve Amazon’un yeni ürünler geliştirmeye yönelik ticari ilgisini artırmak için değerli bir veri seti sağladı.”
25 milyon dolarlık anlaşmanın yanı sıra, Amazon’un veri ürünleri geliştirmek veya iyileştirmek için çocuklardan toplanan coğrafi konum ve konuşma verilerini kullanması yasaklanacak.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin