La FTC déclare que les employés de Ring ont illégalement surveillé les clients et n'ont pas réussi à empêcher les pirates de prendre le contrôle des caméras des utilisateurs

Mar 27, 2023

Mots clés:

La Federal Trade Commission a accusé la société de caméras de sécurité à domicile Ring d'avoir compromis la vie privée de ses clients en permettant à tout employé ou sous-traitant d'accéder aux vidéos privées des consommateurs et en ne mettant pas en œuvre les protections de base en matière de confidentialité et de sécurité, permettant aux pirates de prendre le contrôle des comptes des consommateurs, des caméras , et des vidéos.

En vertu d'une ordonnance proposée, qui doit être approuvée par un tribunal fédéral avant de pouvoir entrer en vigueur, Ring sera tenu de supprimer des produits de données tels que des données, des modèles et des algorithmes dérivés de vidéos qu'il a examinées illégalement. Il sera également nécessaire de mettre en œuvre un programme de confidentialité et de sécurité avec de nouvelles garanties sur l'examen humain des vidéos ainsi que d'autres contrôles de sécurité stricts, tels que l'authentification multifacteur pour les comptes des employés et des clients.

"Le mépris de Ring pour la vie privée et la sécurité a exposé les consommateurs à l'espionnage et au harcèlement", a déclaré Samuel Levine, directeur du Bureau de la protection des consommateurs de la FTC. "L'ordonnance de la FTC indique clairement que faire passer le profit avant la confidentialité ne paie pas."

La société californienne Ring LLC, qui a été rachetée par Amazon en février 2018, vend des caméras de sécurité domestique connectées à Internet, des sonnettes de porte et des accessoires et services connexes. La société a commercialisé ses produits comme offrant une plus grande sécurité à domicile et offrant à ses utilisateurs la tranquillité d'esprit. Par exemple, en faisant la promotion de ses caméras de sécurité intérieures, qui peuvent être placées dans des pièces individuelles, Ring vante la possibilité pour les acheteurs de "voir votre maison. Loin de chez eux" à côté d'une image d'une caméra Ring surveillant la chambre d'un enfant.

Dans une plainte, la FTC affirme que Ring a trompé ses clients en ne limitant pas l'accès des employés et des sous-traitants aux vidéos de ses clients, en utilisant des vidéos de clients pour former des algorithmes, entre autres, sans consentement, et en ne mettant pas en œuvre des mesures de sécurité.

Selon la plainte, ces manquements équivalaient à des violations flagrantes de la vie privée des utilisateurs. Par exemple, un employé a visionné pendant plusieurs mois des milliers d'enregistrements vidéo appartenant à des utilisatrices de caméras Ring qui surveillaient des espaces intimes dans leur maison, comme leur salle de bain ou leur chambre. L'employé n'a pas été arrêté jusqu'à ce qu'un autre employé découvre l'inconduite. Même après que Ring ait imposé des restrictions sur qui pouvait accéder aux vidéos des clients, l'entreprise n'a pas été en mesure de déterminer combien d'autres employés avaient accédé de manière inappropriée à des vidéos privées, car Ring n'avait pas mis en œuvre des mesures de base pour surveiller et détecter l'accès vidéo des employés.

La FTC a également déclaré que Ring n'avait pris aucune mesure jusqu'en janvier 2018 pour informer correctement les clients ou obtenir leur consentement pour un examen humain approfondi des enregistrements vidéo privés des clients à diverses fins, y compris des algorithmes de formation. Ring a enterré des informations dans ses conditions d'utilisation et sa politique de confidentialité, affirmant qu'il avait le droit d'utiliser les enregistrements obtenus dans le cadre de ses services pour "l'amélioration et le développement de produits", selon la plainte.

Selon la plainte, Ring n'a pas non plus mis en œuvre les mesures de sécurité standard pour protéger les informations des consommateurs contre deux menaces en ligne bien connues - le "credential stuffing" et les attaques par "force brute" - malgré les avertissements des employés, des chercheurs extérieurs en sécurité et des rapports des médias. Le bourrage d'informations d'identification implique l'utilisation d'informations d'identification, telles que des noms d'utilisateur et des mots de passe, obtenues à partir du compte piraté d'un consommateur pour accéder aux autres comptes d'un consommateur. Lors d'une attaque par force brute, un acteur malveillant utilise un processus automatisé de devinette de mot de passe, par exemple en parcourant les informations d'identification violées ou en saisissant des mots de passe connus, des centaines ou des milliers de fois pour accéder à un compte.

Malgré de multiples attaques de bourrage d'informations d'identification en 2017 et 2018, Ring n'a pas réussi, selon la plainte, à mettre en œuvre des tactiques courantes, telles que l'authentification multifacteur, jusqu'en 2019. Même alors, la mise en œuvre bâclée par Ring des mesures de sécurité supplémentaires a entravé leur efficacité, la FTC a dit.

En conséquence, les pirates ont continué d'exploiter les vulnérabilités des comptes pour accéder aux vidéos stockées, aux flux vidéo en direct et aux profils de compte d'environ 55 000 clients américains, selon la plainte. Les mauvais acteurs ont non seulement visionné les vidéos de certains clients, mais ont également utilisé la fonctionnalité bidirectionnelle des caméras Ring pour harceler, menacer et insulter les consommateurs, y compris les personnes âgées et les enfants, dont les chambres étaient surveillées par les caméras Ring, et pour modifier les paramètres importants de l'appareil, le a déclaré la FTC. Par exemple, des pirates ont nargué plusieurs enfants avec des insultes racistes, ont fait des propositions sexuelles à des individus et ont menacé une famille de sévices physiques s'ils ne payaient pas de rançon.

En plus du programme de confidentialité et de sécurité obligatoire, l'ordonnance proposée oblige Ring à payer 5,8 millions de dollars, qui seront utilisés pour les remboursements aux consommateurs. La société sera également tenue de supprimer toutes les vidéos de clients et les intégrations de visage, les données collectées à partir du visage d'un individu, qu'elle a obtenues avant 2018, et de supprimer tous les produits de travail qu'elle a dérivés de ces vidéos. L'ordonnance proposée obligera également Ring à alerter la FTC des incidents d'accès ou d'exposition non autorisés des vidéos de ses clients et à informer les consommateurs de l'action de la FTC.

La Commission a voté 3-0 pour autoriser le personnel à déposer la plainte et a stipulé une ordonnance définitive. La FTC a déposé la plainte et l'ordonnance finale auprès du tribunal de district américain du district du district de Columbia.

REMARQUE : La Commission dépose une plainte lorsqu'elle a des « raisons de croire » que les défendeurs nommés violent ou sont sur le point de violer la loi et qu'il semble à la Commission qu'une procédure est dans l'intérêt public. Les ordonnances définitives stipulées ont force de loi lorsqu'elles sont approuvées et signées par le juge du tribunal de district.

Les principaux avocats du personnel sur cette question sont Elisa Jillson, Andy Hasty et Julia Horwitz du Bureau de la protection des consommateurs de la FTC.

La Federal Trade Commission s'emploie à promouvoir la concurrence et à protéger et éduquer les consommateurs. Apprenez-en plus sur les sujets liés aux consommateurs sur consumer.ftc.gov ou signalez les fraudes, les escroqueries et les mauvaises pratiques commerciales sur ReportFraud.ftc.gov. Suivez la FTC sur les réseaux sociaux, lisez les alertes aux consommateurs et le blog d'entreprise, et inscrivez-vous pour recevoir les dernières nouvelles et alertes de la FTC.