亚马逊旗下的视频监控设备制造商 Ring 将支付 580 万美元,因为联邦贸易委员会声称 Ring 员工和承包商多年来可以广泛且不受限制地访问客户的视频。
和解协议于周三提交给美国哥伦比亚特区地方法院。不久之后,联邦贸易委员会确认了和解。和解消息首先由路透社报道。
FTC 表示,由于“危险的过度访问和对隐私和安全的松懈态度”,Ring 员工和承包商能够出于自己的目的查看、下载和传输客户的敏感视频数据。
根据FTC 的投诉,Ring 向“每位员工以及数百名乌克兰第三方承包商提供了对每个客户视频的完全访问权限,无论该员工或承包商是否确实需要该访问权限来执行其工作职能” FTC 还表示,Ring 的员工和承包商“还可以轻松下载任何客户的视频,然后随意查看、分享或披露这些视频。”
FTC 至少两次指控 Ring 员工不当访问女性的私人 Ring 视频。在其中一个案例中,联邦贸易委员会表示,该员工的间谍活动持续了数月,而 Ring 并未发现。
根据 Ring 计划发送给受影响客户的通知草案,这些人不再受雇于 Ring。
政府的投诉还称,Ring 未能对多起撞库报告做出回应——黑客利用从一次数据泄露事件中窃取的用户凭据,在其他网站上使用相同的凭据侵入账户。美国联邦贸易委员会表示,Ring 允许使用容易猜到的密码——就像“密码”和“12345678”一样简单——这使得暴力破解账户变得更加容易,而且 Ring 未能及早采取行动防止账户被黑客入侵。
FTC 声称,在 2019 年 1 月至 2020 年 3 月期间,超过 55,000 名美国客户的账户因此遭到入侵。在十多个案例中,黑客对被黑账户的访问权限持续了一个多月。
随后,Ring 在 2020 年 2 月强制要求用户进行双因素身份验证。Ring 在 2021 年引入了端到端加密,允许用户加密来自除他们自己以外的任何人(包括 Ring)的门铃视频。
除了支付 580 万美元来解决 FTC 的指控外,Ring 还同意建立和维护数据安全计划,并在未来 20 年内定期进行评估,并披露其员工和承包商对客户数据的访问权限。
Ring 发言人 Emma Daniels 在发给 TechCrunch 的电子邮件声明中表示,Ring 不同意 FTC 的指控,并否认违反了法律。
FTC表示,在员工和承包商窥探客户视频后,亚马逊的 Ring 将支付 580 万美元
原文: https://techcrunch.com/2023/05/31/amazon-ring-ftc-settlement-lax-security/