FTC sagt, Ring-Mitarbeiter hätten Kunden illegal überwacht und Hacker nicht daran gehindert, die Kontrolle über die Kameras der Benutzer zu übernehmen

Mar 27, 2023

Stichworte:

Die Federal Trade Commission beschuldigte das Heimüberwachungskameraunternehmen Ring, die Privatsphäre seiner Kunden gefährdet zu haben, indem es jedem Mitarbeiter oder Auftragnehmer Zugriff auf die privaten Videos von Verbrauchern gewährte und es versäumte, grundlegende Datenschutz- und Sicherheitsvorkehrungen zu implementieren, was es Hackern ermöglichte, die Kontrolle über die Konten und Kameras der Verbraucher zu übernehmen und Videos.

Gemäß einer vorgeschlagenen Anordnung, die von einem Bundesgericht genehmigt werden muss, bevor sie in Kraft treten kann, wird Ring verpflichtet sein, Datenprodukte wie Daten, Modelle und Algorithmen zu löschen, die aus Videos stammen, die es rechtswidrig überprüft hat. Außerdem muss ein Datenschutz- und Sicherheitsprogramm mit neuartigen Schutzmaßnahmen für die menschliche Überprüfung von Videos sowie anderen strengen Sicherheitskontrollen implementiert werden, beispielsweise einer Multi-Faktor-Authentifizierung für Mitarbeiter- und Kundenkonten.

„Die Missachtung von Privatsphäre und Sicherheit durch Ring setzte Verbraucher Spionage und Belästigung aus“, sagte Samuel Levine, Direktor des Verbraucherschutzbüros der FTC. „Die Anordnung der FTC macht deutlich, dass es sich nicht lohnt, Profit über Privatsphäre zu stellen.“

Das in Kalifornien ansässige Unternehmen Ring LLC, das im Februar 2018 von Amazon gekauft wurde, verkauft internetfähige, videofähige Heimsicherheitskameras, Türklingeln sowie zugehöriges Zubehör und Dienstleistungen. Das Unternehmen vermarktet seine Produkte mit der Aussage, dass sie mehr Sicherheit zu Hause bieten und den Benutzern ein sicheres Gefühl geben. Bei der Werbung für seine Sicherheitskameras für den Innenbereich, die in einzelnen Räumen angebracht werden können, wirbt Ring beispielsweise mit dem Bild einer Ringkamera, die das Schlafzimmer eines Kindes überwacht, mit der Möglichkeit von Käufern, „Ihr Zuhause zu sehen. Außerhalb Ihres Zuhauses“.

In einer Beschwerde behauptet die FTC, Ring habe seine Kunden getäuscht, indem es den Zugriff von Mitarbeitern und Auftragnehmern auf die Videos seiner Kunden nicht eingeschränkt habe, Kundenvideos unter anderem zum Trainieren von Algorithmen ohne Zustimmung verwendet und keine Sicherheitsvorkehrungen getroffen habe.

Der Beschwerde zufolge handelte es sich bei diesen Versäumnissen um schwerwiegende Verletzungen der Privatsphäre der Nutzer. Beispielsweise sah sich ein Mitarbeiter über mehrere Monate hinweg Tausende von Videoaufzeichnungen an, die weiblichen Nutzern von Ring-Kameras gehörten, die intime Räume in ihren Häusern wie Badezimmer oder Schlafzimmer überwachten. Der Mitarbeiter wurde erst angehalten, als ein anderer Mitarbeiter das Fehlverhalten entdeckte. Selbst nachdem Ring Beschränkungen für den Zugriff auf Kundenvideos eingeführt hatte, konnte das Unternehmen nicht feststellen, wie viele andere Mitarbeiter unrechtmäßig auf private Videos zugegriffen hatten, da Ring es versäumt hatte, grundlegende Maßnahmen zur Überwachung und Erkennung des Videozugriffs von Mitarbeitern zu ergreifen.

Die FTC sagte außerdem, Ring habe bis Januar 2018 keine Schritte unternommen, um Kunden angemessen zu benachrichtigen oder ihre Zustimmung für eine umfassende menschliche Überprüfung der privaten Videoaufzeichnungen der Kunden für verschiedene Zwecke, einschließlich Trainingsalgorithmen, einzuholen. Ring vergrub Informationen in seinen Nutzungsbedingungen und Datenschutzrichtlinien und behauptete, das Unternehmen habe das Recht, im Zusammenhang mit seinen Diensten erhaltene Aufzeichnungen zur „Produktverbesserung und -entwicklung“ zu verwenden, heißt es in der Beschwerde.

Der Beschwerde zufolge hat Ring es trotz Warnungen von Mitarbeitern, externen Sicherheitsforschern und Medienberichten auch versäumt, Standardsicherheitsmaßnahmen zum Schutz der Verbraucherinformationen vor zwei bekannten Online-Bedrohungen – „Credential Stuffing“ und „Brute Force“-Angriffe – umzusetzen. Beim Credential Stuffing werden Anmeldeinformationen wie Benutzernamen und Passwörter verwendet, die von einem gehackten Konto eines Verbrauchers abgerufen werden, um Zugriff auf die anderen Konten eines Verbrauchers zu erhalten. Bei einem Brute-Force-Angriff nutzt ein Angreifer einen automatisierten Prozess zum Erraten von Passwörtern – indem er beispielsweise gehackte Anmeldeinformationen durchläuft oder bekannte Passwörter eingibt – und zwar hunderte oder tausende Male, um Zugriff auf ein Konto zu erhalten.

Obwohl Ring in den Jahren 2017 und 2018 mehrere Credential-Stuffing-Angriffe erlebte, gelang es der Beschwerde zufolge bis 2019 nicht, gängige Taktiken wie die Multifaktor-Authentifizierung umzusetzen. Selbst dann beeinträchtigte die schlampige Umsetzung der zusätzlichen Sicherheitsmaßnahmen durch Ring deren Wirksamkeit, so die FTC sagte.

Infolgedessen nutzten Hacker weiterhin Schwachstellen in Konten aus, um auf gespeicherte Videos, Live-Videostreams und Kontoprofile von etwa 55.000 US-Kunden zuzugreifen, heißt es in der Beschwerde. Kriminelle sahen sich nicht nur die Videos einiger Kunden an, sondern nutzten auch die Zwei-Wege-Funktionalität der Ring-Kameras, um Verbraucher – darunter ältere Menschen und Kinder – deren Räume von Ring-Kameras überwacht wurden, zu belästigen, zu bedrohen und zu beleidigen, und um wichtige Geräteeinstellungen zu ändern FTC sagte. Beispielsweise verspotteten Hacker mehrere Kinder mit rassistischen Beleidigungen, machten ihnen sexuelle Absichten und drohten einer Familie mit körperlicher Gewalt, wenn sie kein Lösegeld zahlte.

Zusätzlich zum vorgeschriebenen Datenschutz- und Sicherheitsprogramm verlangt die vorgeschlagene Anordnung von Ring die Zahlung von 5,8 Millionen US-Dollar, die für Rückerstattungen an Verbraucher verwendet werden. Das Unternehmen ist außerdem verpflichtet, alle Kundenvideos und Gesichtseinbettungen sowie vom Gesicht einer Person erfasste Daten, die es vor 2018 erhalten hat, sowie alle aus diesen Videos abgeleiteten Arbeitsergebnisse zu löschen. Die vorgeschlagene Anordnung sieht außerdem vor, dass Ring die FTC über Vorfälle von unbefugtem Zugriff oder Offenlegung der Videos seiner Kunden informieren und Verbraucher über die Maßnahmen der FTC informieren muss.

Die Kommission stimmte mit 3:0 für die Genehmigung des Personals, die Beschwerde einzureichen, und legte eine endgültige Anordnung fest. Die FTC reichte die Beschwerde und den endgültigen Beschluss beim US-Bezirksgericht für den District of Columbia ein.

HINWEIS: Die Kommission reicht eine Beschwerde ein, wenn sie „Grund zur Annahme“ hat, dass die genannten Beklagten gegen das Gesetz verstoßen oder im Begriff sind, gegen das Gesetz zu verstoßen, und die Kommission den Eindruck hat, dass ein Verfahren im öffentlichen Interesse liegt. Festgelegte endgültige Anordnungen haben Gesetzeskraft, wenn sie vom Richter des Bezirksgerichts genehmigt und unterzeichnet werden.

Die leitenden Anwälte in dieser Angelegenheit sind Elisa Jillson, Andy Hasty und Julia Horwitz vom Bureau of Consumer Protection der FTC.

Die Federal Trade Commission setzt sich für die Förderung des Wettbewerbs sowie den Schutz und die Aufklärung der Verbraucher ein. Erfahren Sie mehr über Verbraucherthemen unter Consumer.ftc.gov oder melden Sie Betrug, Betrügereien und schlechte Geschäftspraktiken unter ReportFraud.ftc.gov. Folgen Sie der FTC in den sozialen Medien, lesen Sie Verbraucherwarnungen und den Unternehmensblog und melden Sie sich an, um die neuesten Nachrichten und Warnungen der FTC zu erhalten.