Hepimizin korktuğu ama böyle olmamasını umduğumuz şey buydu.
Her bir Amazon Ring çalışanı, işleri için gerekli olmadığında bile her bir müşteri videosuna erişebildi.
Sadece bu da değil, Ukrayna’daki bir üçüncü taraf yüklenicinin çalışanları ile birlikte çalışanlar da bu videolardan herhangi birini indirebilir ve ardından Temmuz 2017’den önce kaydedip istedikleri gibi paylaşabilirdi.
FTC’nin, Amazon’un 5,8 milyon dolarlık bir uzlaşmayla karşı karşıya olduğu yakın tarihli bir şikayette iddia ettiği şey buydu.
Ve şaşırtıcı olmayan bir şekilde, bazı çalışanlar bu erişim hakkını kötüye kullandı.
Bir örnekte FTC, bir Ring çalışanının en az 81 farklı kadın kullanıcının binlerce videosunu görüntülediğini söylüyor. Çalışanın, “Ebeveyn Yatak Odası”, “Ebeveyn Banyosu” ve “Casus kamera” gibi en özel alanlarda kullanılmış olabileceklerini öne süren kamera görüntülerini aradığı iddia edildi.
Haziran ve Ağustos 2017 arasında çalışan, videoları yüzlerce kez günde en az bir saat inceledi. Başka bir çalışan bunu fark etti ve bir mühendisin bu kadar çok hesabı görüntülemesinin “normal” olduğunu söylediği iddia edilen amirine bildirdi.
FTC şikayetinden:
“Amir, erkek çalışanın yalnızca “güzel kızların” videolarını izlediğini fark ettikten sonra, görevi kötüye kullanma şikayetini artırdı. Ring, ancak o noktada çalışanın faaliyetlerinin bir kısmını gözden geçirdi ve sonunda işine son verdi.”
Bu olayın bir sonucu olarak Ring, Eylül 2017’de çalışanlarının erişim haklarını daralttı ve böylece müşteriler, müşteri hizmetleri temsilcilerinin videolarına erişmesine izin vermek zorunda kaldı. Ancak Ring, işlerini yapmak için gerçekten ihtiyaç duyup duymadıklarına bakmaksızın yüzlerce başka çalışanın ve üçüncü taraf yüklenicinin tüm video verilerine erişmesine izin vermeye devam etti.
Böylece, bu erişimin daha fazla kötüye kullanılması meydana geldi. Ocak 2018’de bir erkek çalışan, bir kadın meslektaşının videolarını gözetlemek için erişim haklarını kullandı ve e-posta adresini kullanarak ona baktı.
Şubat 2018’de, mühendislere (hem çalışanlar hem de üçüncü taraf yükleniciler) yalnızca bir iş ihtiyacı varsa müşteri videolarına erişim izni verilerek çalışanların erişim hakları daha da daraltıldı. Araştırma ve geliştirme için kullanılan videolar, müşteriler tarafından Ring’s Neighbours uygulamasında yayınlananlarla ve çalışanların, yüklenicilerin ve onların arkadaşlarının ve ailelerinin bu tür kullanım için yazılı izin verdiği videolarla sınırlıydı.
Ring, Şubat 2019’da erişim uygulamalarını yeniden değiştirerek çoğu Ring çalışanının veya yüklenicisinin bir müşterinin özel videosuna yalnızca o müşterinin izniyle erişebilmesini sağladı.
FTC, erişimin kötüye kullanılması ve casuslukla ilgili birkaç örnek daha listeler. Şikayete göre, Ring’in aslında ne kadar uygunsuz erişim olduğu hakkında hiçbir fikri yok, çünkü yerinde tespit önlemleri yoktu:
“Önemli olarak, Ring, Şubat 2019’dan önce uygunsuz erişimi izlemek ve tespit etmek için temel önlemleri uygulamadığı için, Ring’in müşterilerin hassas video verilerine gerçekte kaç tane uygunsuz erişim vakası meydana geldiği hakkında hiçbir fikri yok.”
Çürük elmalar bir yana, Mayıs 2018’den önce Ring, şirketin çok büyük miktarlarda son derece hassas veri toplamasına rağmen, çalışanlara gizlilik veya veri güvenliği konusunda herhangi bir eğitim vermiyordu. Çalışanlara veya üçüncü taraf yüklenicilere müşteri video verilerinin hassas olduğu ve bu şekilde ele alınması gerektiği konusunda da tavsiyede bulunmadı.
Müşterilerin videolarına bu kadar çok çalışan tarafından erişilebileceğinden haberleri yoktu. FTC, Aralık 2017’den önce Ring’in Hizmet Şartları ve Gizlilik Politikası’nın, Ring çalışanlarının ve yüklenicilerinin ürün iyileştirme ve geliştirme için tüm video kayıtlarını inceleme hakkına sahip olacağını söylemediğini söylüyor:
Hukuk diliyle yoğun uzun terimlerin ortasında Ring, yalnızca şirketin Ring’in (o zamanki adıyla Doorbot’un) bulut hizmetiyle bağlantılı olarak elde edilen kayıtları ürün iyileştirme ve geliştirme için kullanma hakkını açıkladı.
FTC, Ring’in ayrıca, çalışanların ve harici güvenlik araştırmacılarının uyarılarına rağmen kullanıcıları kimlik bilgileri doldurma ve kaba kuvvet saldırıları gibi tehditlerden korumak için temel güvenlik önlemlerini uygulamada başarısız olduğunu ve Mayıs 2019’a kadar çok faktörlü kimlik doğrulamayı (MFA) uygulamadığını söylüyor. birçok rakip bunu yaptıktan sonra.
Bu kötü uygulamaların bir sonucu olarak, Ring birkaç güvenlik olayına maruz kaldı. Ocak 2019 ile Mart 2020 arasında FTC, 55.000’den fazla müşterinin Ring cihazlarının güvenliğinin ihlal edildiğini iddia ediyor. Bazı durumlarda siber suçlular, bir korku filminden fırlamış gibi, Ring müşterilerini terörize etmek için iki yönlü iletişimi kullandılar:
- Yatakta yatan birkaç kadın bilgisayar korsanlarının kendilerine küfrettiğini duydu
- Birkaç çocuğa ırkçı hakaretler yağdırıldı
- Yardımlı yaşam tesisindeki yaşlı bir kadın cinsel olarak önerildi ve fiziksel olarak tehdit edildi
- Dijital saldırgan, kamera aracılığıyla bir kadına annesini öldürdüklerini söyledi ve ardından “Bu gece ölürsünüz” dedi.
- Bir kadına konumunun takip edildiği ve geri sayımın sonunda cihazının kendi kendini imha edeceği söylendi. Geri sayım bitmeden cihazın bağlantısını kesti.
Para cezasının yanı sıra Ring’e, Ring’in 2018’den önce elde ettiği ve bir kişinin yüzünden toplanan (“yüz yerleştirme” olarak bilinen) tüm müşteri videolarını ve verilerini silmesi emredildi. Ring ayrıca videolardan elde ettiği tüm iş ürünlerini de silmelidir.
Çocukların mahremiyeti
Aynı gün açıklanan ayrı bir anlaşmada Amazon, çocukların mahremiyetini korumadığı için 25 milyon dolar ödemeyi kabul etti.
Adalet Bakanlığı şikayette bulundu ve FTC adına çözüm önerdi. Şikayet, Amazon’un genç kullanıcılarla ilişkili Alexa ses ve coğrafi konum bilgilerini yıllarca sakladığını ve ebeveynlerin Çocukların Çevrimiçi Gizliliğini Koruma Yasası (COPPA) kuralı uyarınca çocuklarının verilerini silme haklarını kullanmalarını engellediğini iddia etti.
FTC bir gönderide, çocukların konuşma kalıplarının yetişkinlerinkinden farklı olduğu için Amazon için özellikle değerli olabileceğini söyledi:
“Çocukların konuşma kalıpları yetişkinlerden önemli ölçüde farklıdır, bu nedenle Alexa’nın ses kayıtları, Amazon’a Alexa algoritmasını eğitmek ve Amazon’un yeni ürünler geliştirmeye yönelik ticari ilgisini artırmak için değerli bir veri seti sağladı.”
25 milyon dolarlık anlaşmanın yanı sıra, Amazon’un bir veri ürünü oluşturmak veya geliştirmek için çocukların ses bilgilerini ve coğrafi konum verilerini kullanması yasaklanacak. Ayrıca, Alexa’daki etkin olmayan alt hesapları silmeli ve kullanıcıları, şirkete karşı devlet eylemi ve tutma ve silme uygulamaları hakkında bilgilendirmelidir.
Ek olarak, Amazon’un coğrafi konum bilgilerinin kullanımını yönetmek için bir gizlilik programı uygulaması gerekecektir.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.