アマゾン傘下のビデオ監視機器メーカーであるリングは、リングの従業員と請負業者が長年にわたり顧客のビデオに広範かつ無制限にアクセスできたとする連邦取引委員会の申し立てに対して、580万ドルを支払うことになる。
この和解案は水曜日にコロンビア特別区連邦地方裁判所に提出された。 FTC 確認済み しばらくして和解。 和解のニュースは、 最初に報告された ロイター通信による。
FTCは、「危険なほど広範なアクセスとプライバシーとセキュリティに対する緩い態度」の結果、Ringの従業員と請負業者が顧客の機密ビデオデータを自分の目的で閲覧、ダウンロード、転送できたと述べた。
によると FTCの申し立て, Ring は、「従業員や請負業者が職務を遂行するために実際にアクセスを必要としているかどうかに関係なく、すべての従業員と数百のウクライナに拠点を置くサードパーティ請負業者に、すべての顧客ビデオへの完全なアクセス権を与えました。」 FTCはまた、Ringのスタッフや請負業者は「顧客のビデオを容易にダウンロードし、それらのビデオを自由に閲覧、共有、開示することもできる」とも述べた。
FTC は、少なくとも 2 回、リングの従業員が女性のプライベートなリングのビデオに不正にアクセスしたと主張した。 そのうちの1件では、FTCは従業員のスパイ活動がリングに検知されずに数カ月間続いたと発表した。
Ring が影響を受ける顧客に送付する予定の通知草案によると、これらの人物はもはや Ring に雇用されていない。
政府の訴状には、リング社がクレデンシャル・スタッフィング(ハッカーが1つのデータ侵害で盗んだユーザーのクレデンシャルを使用し、他のサイトで同じクレデンシャルを使用してアカウントに侵入する)に関する複数の報告に応じなかったとも述べられている。 FTCは、Ringでは「パスワード」や「12345678」といった単純な、簡単に推測できるパスワードの使用を許可しており、これによりアカウントへの総当たり攻撃が容易になっており、Ringはアカウントのハッキングを防ぐために迅速に行動しなかったと述べた。
その結果、2019年1月から2020年3月までの間に5万5000人以上の米国顧客のアカウントが侵害されたとFTCは主張している。 十数件の場合、ハッカーはハッキングされたアカウントへのアクセスを 1 か月以上維持しました。
その後、Ring は 2020 年 2 月にユーザーに 2 要素認証を義務付けました。Ring は 2021 年にエンドツーエンド暗号化を導入し、ユーザーは自分以外のユーザー (Ring を含む) からドアホンのビデオを暗号化できるようになりました。
リング社は、FTCの申し立てを解決するために580万ドルを支払うことに加えて、今後20年間定期的に評価を行うデータセキュリティプログラムを確立・維持すること、また従業員や請負業者が顧客データにどのようなアクセス権を持っているかを開示することにも同意した。
Ringの広報担当エマ・ダニエルズ氏はTechCrunchへの電子メール声明で、RingはFTCの主張に同意せず、法律違反を否定したと述べた。