Uç Nokta Güvenliği , Yönetişim ve Risk Yönetimi , Gizlilik
Amazon’un Sahip Olduğu Ring, FTC Soruşturmasını Çözmek İçin 5,8 Milyon Dolar Ödeyecek
David Perera (@daveperera) •
31 Mayıs 2023
Amazon, Federal Ticaret Komisyonu’nun Ring ev gözetim cihazı yan kuruluşu tarafından zayıf olduğu iddia edilen siber güvenlik uygulamalarına ilişkin soruşturmasını sonuçlandırmak için 5,8 milyon dolar ödemeyi kabul etti.
Ayrıca bakınız: paneli | Modern Bir Veri Koruma Platformu Oluşturmanın Dört Adımı
İki yönlü iletişimle gömülü 1 milyondan fazla iç mekan ağa bağlı kamera satan şirket, ayrıca zorunlu bir veri ve güvenlik programı için yirmi yıllık dış incelemelerin altına girmeye hazırlanıyor.
Federal bir yargıcın onayını gerektiren anlaşma, bilgisayar korsanlarının tüketicilerin cihazlarına eriştiği, küçük çocuklara zorbalık yaptığı, fiziksel zarar verme tehdidinde bulunduğu ve kullanıcıları ırksal veya cinsel tacizde bulunduğuna dair raporların ardından geldi.
FTC’nin Tüketiciyi Koruma Bürosu yöneticisi Sam Levine, “FTC’nin emri, kârı gizliliğin üzerine koymanın işe yaramadığını açıkça ortaya koyuyor” dedi.
ABD Columbia Bölgesi Bölge Mahkemesinde yapılan bir federal şikayet, kimlik bilgilerinin doldurulması veya kaba kuvvet saldırıları olan saldırılardan Ring’i sorumlu tutuyor. Kimlik bilgisi doldurma, bilgisayar korsanlarının zaten sızdırılmış oturum açma kombinasyonlarını yeniden kullanmaya çalışmasını içerir ve kaba kuvvet parola tahminini otomatikleştirir.
Ring, FTC’nin “güvenlik uygulamalarımızı yanlış nitelendirdiğini” ve şirketin ajansın iddialarına katılmadığını söyledi. Şirket sözcüsü Emma Daniels bir e-postada, “Ring bu sorunları yıllar önce, FTC soruşturmasına başlamadan çok önce kendi başına derhal ele aldı” dedi.
FTC, Ocak 2019 ile Mart 2020 arasında bilgisayar korsanlarının kimlik bilgileri doldurma veya kaba kuvvet saldırıları yoluyla 55.000’den fazla Ring ev kamerası müşterisinin cihazlarına eriştiğini söyledi. Bilgisayar korsanları, “yatak odaları ve çocuklarının yatak odaları da dahil olmak üzere tüketicilerin evlerinin kişisel alanlarının yüzbinlerce videosuna erişim sağladı.”
FTC’nin şirketin atması gerektiğini söylediği, ancak o sırada yapmadığı adımlar arasında, aynı hesapta farklı parolalarla hızla tekrarlanan oturum açma girişimlerinin engellenmesi ve IP adresinden birden fazla hesaba oturum açma girişimlerinin engellenmesi yer alıyor. Ring, şüpheli IP adreslerinden gelen oturum açma girişimlerini de izleyebilir ve kullanıcıları eşzamanlı oturum açma oturumları hakkında bilgilendirebilirdi.
Şikayet, 2019’dan “Ring’in” binlerce talebe izin verdiğinden yakınan dahili bir belgeden alıntı yapıyor. [for account access] uygun bir ‘günde yarım düzine’ yerine tek bir IP adresinden (yani, tek bir kullanıcıdan) saniye başına.
FTC, Ring’in ayrıca kullanıcıların çok basit, kolayca tahmin edilebilir parolalar belirlemesine izin vererek kaba kuvvet saldırılarının olasılığını artırdığını söyledi.
Şirket, Mayıs 2019’da çok faktörlü kimlik doğrulamayı etkinleştirdi. FTC, “Müşterilerin yalnızca küçük bir kısmı -% 2’den azı – bu isteğe bağlı güvenlik özelliğini 2019’da benimsedi” dedi.
2020’de şirket, müşteriler için çok faktörlü kimlik doğrulamayı zorunlu kıldı.
Şikayet ayrıca şirketin evde kaydedilen videoların gizliliğini sağlamasının yıllar sürdüğünü iddia ediyor. 2017 yazında bir Ring çalışanı, “Ebeveyn Yatak Odası” gibi adlara sahip kameraları arayarak en az 81 benzersiz kadın kullanıcıya ait binlerce video kaydını inceledi.
Olay, Ring’in videolara kimlerin erişebileceğini daraltmasına neden oldu, ancak Şubat 2019’a kadar politikalarını değiştirmedi, böylece çoğu Ring çalışanı ve yüklenicisi özel videolara erişmeden önce müşteri izni almak zorunda kaldı.
Ring, “çalışanların müşterilerin depolanan videolarına erişimini kısıtlayan güçlü politikalara ve kontrollere sahip olduğunu ve çalışanların canlı yayınları görüntüleyemediklerini, erişemediklerini veya kontrol edemediklerini” söyledi.
Ring’in önümüzdeki 20 yıl boyunca uygulaması gereken güvenlik programının unsurları arasında, erişim kontrollerinin yıllık sızma testi ve çalışanların video kayıtlarına erişiminin kısıtlandığının yıllık olarak doğrulanması yer alıyor. Ring ayrıca bir üçüncü şahsın güvenlik programını bir yıl içinde ve ardından her iki yılda bir değerlendirmesine izin vermelidir.