Производитель камер видеонаблюдения Ring заплатит $5,8 млн. за слежку за клиентами

Производитель камер видеонаблюдения Ring согласился заплатить $5,8 млн. в качестве компенсации потребителям и прекратить получать прибыль от незаконного доступа к видео клиентов. Об этом сообщила Федеральная торговая комиссия США ( FTC ) в своем заявлении .

По данным FTC, хакеры взломали около 55 000 аккаунтов Ring, принадлежащих американским клиентам, и в некоторых случаях поддерживали доступ к связанным устройствам более месяца. В ходе взлома хакеры использовали доступ к камерам для шпионажа и преследованием ничего не подозревающих жертв. FTC предъявила жалобу Ring после того, как журналисты Motherboard провели несколько расследований о волне хакерских атак на аккаунты Ring и их камеры по всей стране в декабре 2019 года.

«Поскольку Ring не приняла этих мер, атаки успешно продолжались. Например, 12 декабря 2019 года известные СМИ начали публиковать отчеты о взломанных устройствах Ring, где хакеры использовали доступ к камерам для того, чтобы угрожать и дразнить детей и семьи», - говорится в жалобе FTC.

Во время компрометации 55 000 учетных записей хакеры во многих случаях пошли еще дальше. Согласно жалобе, по крайней мере для 910 учетных записей в США, связанных примерно с 1250 устройствами Ring, хакеры также получили доступ к сохраненному видео, прямой трансляции или просмотру профиля клиента.

В своем расследовании Motherboard указала на следующие нарушения компании:

• Ring позволяет людям входить в систему с неизвестных IP-адресов даже при одновременном подключении из нескольких стран по всему миру;
• компания не дает пользователям возможность увидеть, сколько пользователей в настоящее время вошли в учетную запись;
• Ring не сверяет хэши паролей пользователей с уже известными скомпрометированными учетными данными;
• Ring не внедрил проверку по СМС при входе через неизвестный логин;
• Компания предоставила беспрепятственный доступ через анонимную сеть Tor;
• Ring не применяла защиту от перебора паролей аккаунта, что позволяет злоумышленнику проводить брутфорс-атаки и атаки Credential stuffing .

В своей жалобе FTC указала на те же самые проблемы, которые обнаружили эксперты Motherboard.

«Пренебрежение Ring к приватности и безопасности подвергло потребителей шпионажу и домогательствам. Приказ FTC ясно показывает, что ставить прибыль выше приватности не выгодно», - заявили в FTC.

Отдельно от проблемы безопасности аккаунта сотрудники Ring также получали доступ к контенту потребителей без их согласия. Согласно приказу, Ring будет обязана удалить продукты данных, полученные из незаконно просмотренных видеозаписей, а также реализовать программу по защите приватности и безопасности, а также «другие строгие меры безопасности, такие как двухфакторная аутентификация ( 2FA ) для аккаунтов как сотрудников, так и клиентов.

Федеральный суд должен одобрить приказ перед тем, как он может вступить в силу. Ring не ответил на запрос о комментарии.