Ring, der zu Amazon gehörende Hersteller von Videoüberwachungsgeräten, wird 5,8 Millionen US-Dollar für die Behauptungen der Federal Trade Commission zahlen, dass Mitarbeiter und Auftragnehmer von Ring jahrelang umfassenden und uneingeschränkten Zugriff auf die Videos der Kunden hatten.
Der Vergleich wurde am Mittwoch beim US-Bezirksgericht für den District of Columbia eingereicht. Die FTC bestätigt die Siedlung kurze Zeit später. Die Nachricht von der Einigung war zuerst berichtet von Reuters.
Die FTC erklärte, dass Mitarbeiter und Auftragnehmer von Ring die sensiblen Videodaten der Kunden für ihre eigenen Zwecke einsehen, herunterladen und übertragen konnten, was auf einen „gefährlich zu weitreichenden Zugang und eine laxe Haltung gegenüber Datenschutz und Sicherheit“ zurückzuführen sei.
Entsprechend die Beschwerde der FTC, gewährte Ring „jedem Mitarbeiter – sowie Hunderten von in der Ukraine ansässigen Drittanbietern – vollen Zugriff auf jedes Kundenvideo, unabhängig davon, ob der Mitarbeiter oder Auftragnehmer diesen Zugriff tatsächlich zur Ausübung seiner Arbeitsaufgabe benötigte.“ Die FTC sagte außerdem, dass Mitarbeiter und Auftragnehmer von Ring „die Videos jedes Kunden problemlos herunterladen und diese Videos dann nach Belieben ansehen, teilen oder offenlegen könnten“.
Die FTC behauptete bei mindestens zwei Gelegenheiten, dass Ring-Mitarbeiter unrechtmäßig auf die privaten Ring-Videos von Frauen zugegriffen hätten. In einem der Fälle gab die FTC an, dass die Spionage des Mitarbeiters monatelang andauerte und von Ring unentdeckt blieb.
Laut einem Entwurf der Benachrichtigung, die Ring den betroffenen Kunden zusenden will, sind die Personen nicht mehr bei Ring beschäftigt.
In der Beschwerde der Regierung heißt es außerdem, dass Ring nicht auf mehrere Berichte über Credential Stuffing reagiert habe – bei dem Hacker gestohlene Benutzeranmeldeinformationen aus einer Datenschutzverletzung verwenden, um mit denselben Anmeldeinformationen auf anderen Websites in die Konten einzudringen. Die FTC sagte, Ring erlaube die Verwendung leicht zu erratender Passwörter – so einfach wie „Passwort“ und „12345678“ –, was das Brute-Force-Erzwingen von Konten einfacher mache, und Ring habe es versäumt, früher zu handeln, um Konto-Hacker zu verhindern.
Die FTC behauptet, dass dadurch zwischen Januar 2019 und März 2020 die Konten von mehr als 55.000 US-Kunden kompromittiert wurden. In mehr als einem Dutzend Fällen behielten Hacker mehr als einen Monat lang Zugriff auf gehackte Konten.
Anschließend machte Ring im Februar 2020 die Zwei-Faktor-Authentifizierung für Benutzer obligatorisch. Ring führte 2021 eine Ende-zu-Ende-Verschlüsselung ein, die es Benutzern ermöglicht, ihre Türklingelvideos von anderen Personen als sich selbst zu verschlüsseln – einschließlich Ring.
Neben der Zahlung von 5,8 Millionen US-Dollar zur Beilegung der Vorwürfe der FTC erklärte sich Ring auch bereit, ein Datensicherheitsprogramm mit regelmäßigen Bewertungen für die nächsten 20 Jahre einzurichten und aufrechtzuerhalten und offenzulegen, welchen Zugriff seine Mitarbeiter und Auftragnehmer auf Kundendaten haben.
Ring-Sprecherin Emma Daniels sagte in einer per E-Mail an Tech gesendeten Erklärung, dass Ring mit den Vorwürfen der FTC nicht einverstanden sei und bestritt, gegen das Gesetz verstoßen zu haben.