Ring, el fabricante de dispositivos de videovigilancia propiedad de Amazon, pagará 5,8 millones de dólares por reclamos presentados por la Comisión Federal de Comercio de que los empleados y contratistas de Ring tuvieron acceso amplio y sin restricciones a los videos de los clientes durante años.
El acuerdo se presentó en el Tribunal de Distrito de EE. UU. para el Distrito de Columbia el miércoles. La FTC confirmó el acuerdo poco tiempo después. La noticia del acuerdo fue reportada por primera vez por Reuters.
La FTC dijo que los empleados y contratistas de Ring pudieron ver, descargar y transferir datos de video confidenciales de los clientes para sus propios fines como resultado del “acceso peligrosamente demasiado amplio y la actitud laxa hacia la privacidad y la seguridad”.
De acuerdo con la denuncia de la FTC, Ring dio a “todos los empleados, así como a cientos de contratistas externos con sede en Ucrania, acceso completo a todos los videos de los clientes, independientemente de si el empleado o contratista realmente necesitaba ese acceso para realizar su función laboral. .” La FTC también dijo que el personal y los contratistas de Ring “también podrían descargar fácilmente los videos de cualquier cliente y luego verlos, compartirlos o divulgarlos a voluntad”.
La FTC alegó en al menos dos ocasiones que los empleados de Ring accedieron indebidamente a los videos privados de mujeres de Ring. En uno de los casos, la FTC dijo que el espionaje del empleado se prolongó durante meses, sin que Ring lo detectara.
Según un borrador de la notificación que Ring planea enviar a los clientes afectados, las personas ya no son empleados de Ring.
La queja del gobierno también decía que Ring no respondió a múltiples informes de relleno de credenciales, donde los piratas informáticos usan credenciales de usuario robadas de una violación de datos para ingresar a las cuentas usando las mismas credenciales en otros sitios. La FTC dijo que Ring permitió el uso de contraseñas fáciles de adivinar, tan simples como “contraseña” y “12345678”, lo que facilitó las cuentas de fuerza bruta, y que Ring no actuó antes para evitar la piratería de cuentas.
La FTC afirma que más de 55,000 clientes estadounidenses vieron comprometidas sus cuentas entre enero de 2019 y marzo de 2020 como resultado. En más de una docena de casos, los piratas informáticos mantuvieron el acceso a las cuentas pirateadas durante más de un mes.
Posteriormente, Ring hizo que la autenticación de dos factores fuera obligatoria para los usuarios en febrero de 2020. Ring introdujo el cifrado de extremo a extremo en 2021, lo que permite a los usuarios cifrar sus videos de timbre de cualquier persona que no sea ellos mismos, incluido Ring.
Además de pagar 5,8 millones de dólares para resolver las acusaciones de la FTC, Ring también acordó establecer y mantener un programa de seguridad de datos con evaluaciones periódicas durante los próximos 20 años, además de revelar qué acceso tienen sus empleados y contratistas a los datos de los clientes.
La portavoz de Ring, Emma Daniels, dijo en un comunicado enviado por correo electrónico a TechCrunch que Ring no estaba de acuerdo con las acusaciones de la FTC y negó haber violado la ley.