La Federal Trade Fee a révélé mercredi dans des paperwork judiciaires qu’au moins 55 000 clients américains avaient été victimes de piratages de 2019 ciblant Ring, la société de caméras de surveillance à domicile appartenant à Amazon. Il a également révélé de nouveaux détails sur des incidents d’employés et de sous-traitants de Ring espionnant des customers.
Les paperwork judiciaires, qui comprenaient une plainte et une proposition de règlement, obligeraient Ring à payer 5,8 tens of millions de pounds aux personnes touchées par les failles de sécurité de Ring et les piratages qui en résultent.
La plainte de la FTC a révélé qu’entre juin et août 2017, un employé masculin de Ring avait visionné “des milliers” de vidéos capturées sur des caméras Ring appartenant à “au moins 81” femmes, y compris des clientes et des employées de Ring. Il n’a été licencié que lorsqu’un collègue a remarqué qu’il “ne regardait que des vidéos de ‘jolies filles'”.
Un autre employé de Ring, à partir de mars 2018, a personnellement donné des caméras à des personnes, puis a visionné leurs vidéos “à leur insu ou sans leur consentement”. Lorsqu’il a quitté l’entreprise en septembre 2019, il aurait emporté avec lui des copies de certaines vidéos. La plainte, qui cite un lanceur d’alerte, indique que Ring ne savait pas “que quelque chose n’allait pas”.
À une autre situation, un représentant du provider customer, qui était un sous-traitant non employé par Ring, a décrit avoir “un accès sans entrave aux vidéos appartenant à des milliers de customers qui n’ont jamais contacté le support shopper”. Des rapports précédents ont établi que l’équipe de recherche et développement de Ring, basée en Ukraine, avait également un accès illimité aux vidéos des clients.
On ne sait pas combien d’incidents similaires ont pu se produire. Étant donné que Ring n’a pas mis en place de fonctionnalités fiables pour surveiller l’accès des employés aux vidéos avant février 2019, la FTC a déclaré que la société n’avait “aucune idée du nombre de cas d’accès inapproprié aux données vidéo sensibles des purchasers qui se sont réellement produits”.
bien avant que la FTC ne begin son enquête”.
“Bien que nous ne soyons pas d’accord avec les allégations de la FTC et nions avoir enfreint la loi, ce règlement résout ce problème afin que nous puissions nous concentrer sur l’innovation au nom de nos purchasers”, a déclaré Yarger.
As well as de 55 000 victimes de piratage
Avant la publication de la plainte de mercredi, les connaissances du public sur les employés de Ring espionnant les customers étaient connues, mais vagues. En réponse à une enquête du Sénat, Ring a déclaré dans une lettre de janvier 2020 qu’en quatre ans, la société avait reçu “quatre plaintes ou demandes concernant l’accès d’un membre de l’équipe aux données vidéo de Ring”.
La plainte révèle également combien de personnes ont été victimes d’une série de piratages en 2019, qui ont ciblé les clients de Ring dans plusieurs incidents très médiatisés. Entre janvier 2019 et mars 2020, la FTC a déclaré dans sa plainte de mercredi, “plus de 55 000 shoppers américains” ont été victimes de pirates ciblant les comptes Ring.
avocate principale au Bureau de la safety des consommateurs de la FTC et avocate principale sur l’affaire.
Les pirates ont utilisé le credential stuffing, où des e-mails et des mots de passe précédemment compromis sont utilisés pour se connecter à un autre compte, et des attaques par drive brute, où les informations de connexion sont devinées en masse.
“Grâce à ces attaques, des acteurs malveillants ont eu accès à des centaines de milliers de vidéos des espaces personnels des maisons des consommateurs, y compris leurs chambres à coucher et celles de leurs enfants, enregistrées par des appareils que Ring a vendus en affirmant qu’ils augmenteraient la sécurité des consommateurs”, a déclaré le plainte se lit.
Les médias ont documenté remark les problèmes de sécurité affectant les comptes Ring en 2019 ont permis aux pirates de détourner des comptes d’utilisateurs, de surveiller les gens depuis leur domicile à length et de narguer et de harceler les victimes through un haut-parleur attaché aux caméras. La vulnérabilité a été utilisée pour harceler une fillette de huit ans, lors d’un incident. Certains pirates ont lancé un podcast dans lequel ils ont piraté les caméras Ring en temps réel, pour se divertir.
Ces hacks ont finalement abouti à un recours collectif contre l’entreprise, qui est en cours. Fin 2019, moreover de 3 000 connexions Ring ont été publiées sur Net ouvert, mais il n’était pas clair à l’époque s’il s’agissait du nombre complete de clients compromis par des problèmes de sécurité.
“Terrifié” et “traumatisé” par les hacks
La plainte de mercredi de la FTC clarifie enfin l’ampleur des problèmes de sécurité de Ring. Jillson a déclaré qu’il s’agissait de l’aboutissement d’une enquête approfondie, impliquant des citations à comparaître civiles et des demandes d’informations adressées à la fois à Ring et à d’autres sociétés.
Ring a toujours repoussé les affirmations selon lesquelles ses systèmes de connexion et ses caméras de surveillance présentaient des problèmes de sécurité. Dans un file de septembre 2021 pour le recours collectif en cours, Ring a souligné que les purchasers n’étaient affectés que parce que leurs informations avaient été divulguées sur “un provider distinct, externe et non Ring”, puis “réutilisées” pour accéder aux comptes Ring. Mais en exigeant une authentification multifacteur lors de la connexion, les entreprises peuvent empêcher les piratages résultant de noms d’utilisateur et de mots de passe compromis. Pendant ce temps, les events au recours collectif ont affirmé qu’elles étaient “terrifiées” et “traumatisées” par les hacks.
La plainte de la FTC souligne que Ring n’a commencé à déployer l’authentification multifacteur qu’en mai 2019, et parce qu’elle était facultative et non obligatoire, “moins de 2% des shoppers” ont adopté la fonction de sécurité cette année-là.
En additionally de payer un paiement à tous les consommateurs éligibles, Ring doit supprimer ou détruire tous les enregistrements de caméras Ring “collectés avant le 1er mars 2018 et examinés et annotés par des employés ou des sous-traitants à des fins de recherche et développement”.
Un juge du tribunal de district de Washington, DC doit être chargé de l’affaire et approuver les termes du règlement, une formalité qui peut prendre de quelques jours à quelques semaines. Jillson a refusé de préciser les détails de l’accord de règlement avec Ring.
“Ce sont des allégations assez horribles. Cela implique de l’espionnage et du harcèlement dans les espaces les additionally privés des maisons, affectant non seulement les adultes, mais aussi les enfants. Et il est donc extrêmement essential que la FTC agisse là où il y a une conduite aussi flagrante.”