Производитель камер видеонаблюдения Ring заплатит $5,8 млн. за слежку за клиентами

Производитель камер видеонаблюдения Ring заплатит $5,8 млн. за слежку за клиентами

Приказ FTC ясно показывает, что ставить прибыль выше приватности не выгодно.

image

Производитель камер видеонаблюдения Ring согласился заплатить $5,8 млн. в качестве компенсации потребителям и прекратить получать прибыль от незаконного доступа к видео клиентов. Об этом сообщила Федеральная торговая комиссия США (FTC) в своем заявлении .

По данным FTC, хакеры взломали около 55 000 аккаунтов Ring, принадлежащих американским клиентам, и в некоторых случаях поддерживали доступ к связанным устройствам более месяца. В ходе взлома хакеры использовали доступ к камерам для шпионажа и преследованием ничего не подозревающих жертв. FTC предъявила жалобу Ring после того, как журналисты Motherboard провели несколько расследований о волне хакерских атак на аккаунты Ring и их камеры по всей стране в декабре 2019 года.

«Поскольку Ring не приняла этих мер, атаки успешно продолжались. Например, 12 декабря 2019 года известные СМИ начали публиковать отчеты о взломанных устройствах Ring, где хакеры использовали доступ к камерам для того, чтобы угрожать и дразнить детей и семьи», - говорится в жалобе FTC.

Во время компрометации 55 000 учетных записей хакеры во многих случаях пошли еще дальше. Согласно жалобе, по крайней мере для 910 учетных записей в США, связанных примерно с 1250 устройствами Ring, хакеры также получили доступ к сохраненному видео, прямой трансляции или просмотру профиля клиента.

В своем расследовании Motherboard указала на следующие нарушения компании:

  • Ring позволяет людям входить в систему с неизвестных IP-адресов даже при одновременном подключении из нескольких стран по всему миру;
  • компания не дает пользователям возможность увидеть, сколько пользователей в настоящее время вошли в учетную запись;
  • Ring не сверяет хэши паролей пользователей с уже известными скомпрометированными учетными данными;
  • Ring не внедрил проверку по СМС при входе через неизвестный логин;
  • Компания предоставила беспрепятственный доступ через анонимную сеть Tor;
  • Ring не применяла защиту от перебора паролей аккаунта, что позволяет злоумышленнику проводить брутфорс-атаки и атаки Credential stuffing.

В своей жалобе FTC указала на те же самые проблемы, которые обнаружили эксперты Motherboard.

«Пренебрежение Ring к приватности и безопасности подвергло потребителей шпионажу и домогательствам. Приказ FTC ясно показывает, что ставить прибыль выше приватности не выгодно», - заявили в FTC.

Отдельно от проблемы безопасности аккаунта сотрудники Ring также получали доступ к контенту потребителей без их согласия. Согласно приказу, Ring будет обязана удалить продукты данных, полученные из незаконно просмотренных видеозаписей, а также реализовать программу по защите приватности и безопасности, а также «другие строгие меры безопасности, такие как двухфакторная аутентификация (2FA) для аккаунтов как сотрудников, так и клиентов.

Федеральный суд должен одобрить приказ перед тем, как он может вступить в силу. Ring не ответил на запрос о комментарии.

Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь