FTC、リング従業員が違法に顧客を監視、ハッカーによるユーザーのカメラの制御を阻止できなかったと発表

Mar 27, 2023

タグ:

米連邦取引委員会は、家庭用セキュリティカメラ会社リングを、従業員や請負業者に消費者のプライベートビデオへのアクセスを許可し、基本的なプライバシーとセキュリティ保護の実装を怠り、ハッカーが消費者のアカウントやカメラを制御できるようにして顧客のプライバシーを侵害したとして告発した。 、およびビデオ。

発効前に連邦裁判所の承認が必要な命令案に基づき、リング社は違法に審査した動画から派生したデータ、モデル、アルゴリズムなどのデータ製品を削除するよう求められる。 また、従業員と顧客の両方のアカウントに対する多要素認証などの厳格なセキュリティ管理だけでなく、ビデオの人によるレビューに対する新たな保護手段を備えたプライバシーおよびセキュリティ プログラムの実装も求められます。

FTC消費者保護局長サミュエル・レビン氏は「リング社のプライバシーとセキュリティの無視により、消費者はスパイ行為や嫌がらせにさらされた」と述べた。 「FTCの命令は、プライバシーよりも利益を優先することは割に合わないことを明らかにしている。」

2018 年 2 月に Amazon に買収されたカリフォルニアに本拠を置く Ring LLC は、インターネットに接続されたビデオ対応のホーム セキュリティ カメラ、ドアベル、および関連アクセサリとサービスを販売しています。 同社は、より優れたホームセキュリティを提供し、ユーザーに安心感を提供するものとして自社製品を宣伝してきました。 たとえば、Ring は、各部屋に設置できる屋内セキュリティ カメラを宣伝する際に、子供部屋を監視する Ring カメラの写真とともに、購入者が「家から離れて見ることができる」機能を宣伝しています。

FTCは訴状の中で、Ring社が従業員や請負業者による顧客のビデオへのアクセスを制限しなかったこと、顧客のビデオを同意なしにアルゴリズムのトレーニングなどに使用したこと、そしてセキュリティ保護策の導入を怠ったことで顧客を欺いたと述べた。

訴状によると、これらの失敗はユーザーのプライバシーの重大な侵害に相当するという。 たとえば、ある従業員は、リングカメラの女性ユーザーが自宅のバスルームや寝室などの親密な空間を監視した数千件のビデオ録画を数か月にわたって閲覧した。 別の従業員が不正行為を発見するまで、その従業員は止められなかった。 Ring が顧客のビデオにアクセスできるユーザーに制限を課した後でも、Ring は従業員のビデオ アクセスを監視および検出するための基本的な対策を講じていなかったため、他の何人の従業員がプライベート ビデオに不適切にアクセスしたかを把握できませんでした。

FTCはまた、リング社は2018年1月まで、顧客に適切に通知したり、トレーニングアルゴリズムを含むさまざまな目的で顧客のプライベートビデオ録画を人間が広範にレビューするための同意を得る措置を講じていなかったとも述べた。 訴状によると、リングはサービス利用規約とプライバシーポリシーに情報を埋め込み、サービスに関連して取得した録音を「製品の改善と開発」のために使用する権利があると主張した。

訴状によると、Ring社はまた、従業員や外部のセキュリティ研究者、メディア報道からの警告にもかかわらず、「クレデンシャルスタッフィング」と「ブルートフォース」攻撃という2つのよく知られたオンライン脅威から消費者の情報を保護するための標準的なセキュリティ対策を導入していなかった。 クレデンシャル スタッフィングには、消費者の他のアカウントにアクセスするために、侵害された消費者のアカウントから取得したユーザー名やパスワードなどのクレデンシャルの使用が含まれます。 ブルート フォース攻撃では、悪意のある攻撃者は、たとえば、侵害された資格情報を繰り返したり、既知のパスワードを入力したりするなど、自動化されたパスワード推測プロセスを数百回または数千回使用して、アカウントにアクセスします。

告訴状によると、2017年と2018年に複数のクレデンシャルスタッフィング攻撃を経験したにもかかわらず、Ringは2019年まで多要素認証などの一般的な戦術の導入に失敗したという。その後も、Ringによる追加のセキュリティ対策のずさんな実装がその効果を妨げたとFTCは述べている。言った。

訴状によると、その結果、ハッカーはアカウントの脆弱性を悪用し続け、保存されたビデオ、ライブビデオストリーム、約5万5000の米国顧客のアカウントプロフィールにアクセスしたという。 悪意のある者は一部の顧客のビデオを閲覧しただけでなく、リング カメラの双方向機能を利用して、室内がリング カメラで監視されている消費者 (高齢者や子供を含む) に嫌がらせ、脅迫、侮辱を加えたり、デバイスの重要な設定を変更したりしました。とFTCは述べた。 たとえば、ハッカーは数人の子供たちを人種差別的な中傷で罵倒したり、個人を性的に挑発したり、身代金を支払わなければ家族に身体的危害を加えると脅したりしました。

義務付けられたプライバシーとセキュリティプログラムに加えて、提案された命令ではリング社に580万ドルを支払うよう要求しており、これは消費者への返金に充てられる予定だ。 同社はまた、2018年以前に取得した顧客ビデオと顔の埋め込み（個人の顔から収集したデータ）を削除し、これらのビデオから派生した成果物も削除するよう求められる。 提案された命令では、リングに対し、顧客のビデオへの不正アクセスや暴露の事件についてFTCに警告し、FTCの措置について消費者に通知することも義務付けられている。

委員会は3対0でスタッフに苦情を提出する権限を与え、最終命令を定めた。 FTCは訴状と最終命令をコロンビア特別区連邦地方裁判所に提出した。

注: 委員会は、指名された被告が法律に違反している、または違反しようとしていると「信じる理由」があり、手続きが公共の利益にかなうと委員会に思われる場合に告訴状を提出します。 規定された最終命令は、地方裁判所の裁判官によって承認および署名された時点で法的効力を持ちます。

この問題の主任弁護士は、FTC消費者保護局のエリサ・ジルソン氏、アンディ・ハスティ氏、ジュリア・ホーウィッツ氏である。

連邦取引委員会は、競争を促進し、消費者の保護と教育に取り組んでいます。 Consumer.ftc.gov で消費者に関するトピックについて詳しく知るか、ReportFraud.ftc.gov で詐欺、詐欺、悪質な商行為を報告してください。 ソーシャル メディアで FTC をフォローし、消費者向けアラートやビジネス ブログを読んで、サインアップして最新の FTC ニュースとアラートを入手してください。