Nicht allein zu Hause: Laut FTC führten die laxen Praktiken von Ring zu beunruhigenden Verletzungen der Privatsphäre und Sicherheit der Benutzer

Mar 28, 2023

Viele Verbraucher, die Video-Türklingeln und Sicherheitskameras verwenden, möchten Eindringlinge erkennen, die in die Privatsphäre ihrer Häuser eindringen. Verbraucher, die Ring installiert haben, werden möglicherweise überrascht sein, wenn sie erfahren, dass Ring selbst laut einem vorgeschlagenen FTC-Vergleich ein „Eindringling“ war, der in ihre Privatsphäre eindrang. Die FTC gibt an, dass Ring seinen Mitarbeitern und Hunderten von in der Ukraine ansässigen Drittanbietern hautnahen und persönlichen Videozugang zu den Schlafzimmern der Kunden, den Schlafzimmern ihrer Kinder und anderen sehr persönlichen Räumen ermöglicht hat – einschließlich der Möglichkeit zum Herunterladen, Ansehen, und diese Videos nach Belieben teilen. Und das ist noch nicht alles, was Ring vorhatte. Zusätzlich zu einer finanziellen Einigung in Höhe von 5,8 Millionen US-Dollar enthält die vorgeschlagene Anordnung in dem Fall Bestimmungen an der Schnittstelle zwischen künstlicher Intelligenz, biometrischen Daten und Privatsphäre. Es ist eine aufschlussreiche Ergänzung zu einem weiteren wichtigen Fall im Bereich der biometrischen Privatsphäre, den die FTC heute bekannt gegeben hat: Amazon Alexa.

Ring verkauft mit dem Internet verbundene, videofähige Kameras und Türklingeln, die Millionen Menschen in Amerika zur Sicherung ihrer Häuser verwenden. Während einer umfangreichen Marketingkampagne läutete Ring die Sicherheitsglocke und bewarb seine Produkte als „Klein in der Größe. Große Sicherheit.“ Die FTC sagt jedoch, dass das Unternehmen trotz der Behauptungen des Unternehmens, es habe angemessene Schritte unternommen, um sicherzustellen, dass Ring-Kameras ein sicheres Mittel für Verbraucher zur Überwachung privater Bereiche ihrer Häuser seien, einen schnellen und lockeren Umgang mit den hochsensiblen Daten der Kunden an den Tag gelegt habe.

Obwohl das Mitarbeiterhandbuch von Ring den Missbrauch von Daten verbot, deutet das beunruhigende Verhalten einiger Mitarbeiter darauf hin, dass die Ermahnung das Papier, auf dem sie gedruckt wurde, nicht wert war. Anstatt den Zugriff auf Kundenvideos auf diejenigen zu beschränken, die ihn zur Erfüllung wesentlicher Arbeitsfunktionen benötigen – beispielsweise um einem Verbraucher bei der Behebung eines Problems mit seinem System zu helfen – gewährte Ring Mitarbeitern und Auftragnehmern „Freilandzugriff“. Gibt es irgendwelche Zweifel, wohin diese schlampige Politik und die laxen Kontrollen unweigerlich führen würden? Während eines Zeitraums von drei Monaten im Jahr 2017 sah sich ein Ring-Mitarbeiter Tausende Videos von weiblichen Nutzern in ihren Schlafzimmern und Badezimmern an, darunter auch Videos von Ring-eigenen Mitarbeitern. Anstatt mithilfe seiner eigenen technischen Kontrollen zu ermitteln, was der Mitarbeiter vorhatte, erfuhr Ring erst von dem Vorfall, nachdem eine Mitarbeiterin ihn gemeldet hatte. Das ist nur ein Beispiel für das, was die FTC als „gefährlich weitreichenden Zugang und laxe Haltung gegenüber Privatsphäre und Sicherheit“ von Ring bezeichnet.

Obwohl Ring im Jahr 2018 einige seiner Praktiken geändert hat, sagt die FTC, dass diese Maßnahmen das Problem nicht gelöst haben. Für Einzelheiten sollten Sie die Beschwerde lesen, aber selbst nach diesen Änderungen nennt die FTC Beispiele für einen nicht autorisierten „Tunnel“, der einem in der Ukraine ansässigen Auftragnehmer den Zugriff auf Kundenvideos ermöglichte, einen Vorfall, bei dem ein Ring-Mitarbeiter Informationen über die Videos eines Kunden preisgab Videos an den Ex-Ehemann des Kunden und ein Bericht eines Whistleblowers, dass ein ehemaliger Mitarbeiter zahlreichen Personen Ring-Geräte zur Verfügung gestellt, ohne deren Wissen oder Zustimmung auf deren Videos zugegriffen und die Videos dann mitgenommen hatte, als er das Unternehmen verließ.

Doch die Bedrohungen für die Privatsphäre der Verbraucher kamen nicht nur von Ring. In der Beschwerde wird vorgeworfen, dass Ring es bis Januar 2020 versäumt habe, die Risiken anzugehen, die von zwei bekannten Formen von Online-Angriffen ausgehen: „Brute Force“ (ein automatisierter Prozess zum Erraten von Passwörtern) und „Credential Stuffing“ (Mitnahme von bei anderen Gelegenheiten gestohlenen Benutzernamen und Passwörtern). Sicherheitsverletzungen und deren Nutzung für den Zugriff auf Ring). Laut FTC führten die Sicherheitsmängel von Ring letztendlich dazu, dass mehr als 55.000 US-Kunden schwere Kontokompromittierungen erlebten.

Wie schwerwiegend war der Eingriff in die Privatsphäre der Verbraucher? In vielen Fällen nutzten Kriminelle die Zwei-Wege-Kommunikationsfunktion der Kamera aus, um Menschen zu belästigen und zu bedrohen, deren Räume von Ring-Kameras überwacht wurden, darunter Kinder und ältere Erwachsene. Kunden beschrieben ihre Erfahrungen als erschreckend und traumatisch und berichteten von zahlreichen Fällen bedrohlichen Verhaltens, das von Stimmen ausging, die über Ring in die Heiligkeit ihrer Häuser eindrangen:

Ein Ring-Mitarbeiter drückte es so aus: „Unwissentlich unterstützen und begünstigen wir diejenigen [Hacker], die gegen die Daten verstoßen haben, indem wir keine Abhilfemaßnahmen getroffen haben.“

Unheimliche Mitarbeiter und finstere Hacker waren nicht die einzigen, die den Verbrauchern die Kontrolle über persönliche Daten entrissen. Der Beschwerde zufolge nutzte Ring ihre Videos, ohne die ausdrückliche Zustimmung der Verbraucher einzuholen, um Bilderkennungsalgorithmen zu entwickeln – und stellte dabei den potenziellen Profit über den Datenschutz. Ring verbarg sein Verhalten hinter einem dichten juristischen Block und teilte den Leuten lediglich mit, dass es ihre Inhalte zur Produktverbesserung und -entwicklung verwenden könnte, und leitete dann die angebliche „Einwilligung“ aus einem Häkchen ab, bei dem Verbraucher bestätigten, dass sie den Nutzungsbedingungen und Datenschutzrichtlinien von Ring zustimmten.

In der Beschwerde wird Ring vorgeworfen, gegen das FTC-Gesetz verstoßen zu haben, indem es falsch dargestellt habe, dass das Unternehmen angemessene Schritte unternommen habe, um Heimüberwachungskameras vor unbefugtem Zugriff zu schützen, Mitarbeitern und Auftragnehmern zu Unrecht erlaubt habe, ohne Wissen oder Zustimmung der Kunden auf Videoaufzeichnungen von intimen Räumen in den Häusern der Kunden zuzugreifen, und zu Unrecht gescheitert sei angemessene Sicherheitsmaßnahmen zu ergreifen, um die sensiblen Videodaten der Kunden vor unbefugtem Zugriff zu schützen.

Zusätzlich zu der geforderten Zahlung von 5,8 Millionen US-Dollar für Verbraucher enthält die vorgeschlagene Anordnung einige Bestimmungen, die in FTC-Vergleichen üblich sind, sowie wichtige neue Bestimmungen, die nicht nur vom Technologiesektor, sondern von jedem Unternehmen, das Verbraucherdaten verwendet, sorgfältige Aufmerksamkeit verdienen (und seien wir ehrlich, das ist es auch). fast jeder). Sie sollten die Bestellung sorgfältig lesen, aber hier sind einige Highlights. Die Anordnung verbietet es Ring, falsche Angaben darüber zu machen, inwieweit das Unternehmen oder seine Auftragnehmer auf Kundenvideos, Zahlungsinformationen und Authentifizierungsdaten zugreifen können. Darüber hinaus muss das Unternehmen für den Zeitraum, in dem Ring über unzureichende Verfahren zur Einholung der Einwilligung der Verbraucher verfügte, alle für Forschung und Entwicklung verwendeten Videos sowie alle aus diesen Videos abgeleiteten Daten – einschließlich Modelle und Algorithmen – löschen.

Ring muss außerdem ein umfassendes Datenschutz- und Sicherheitsprogramm implementieren, das die „menschliche Überprüfung“ von Kundenvideos strikt auf bestimmte, enge Umstände beschränkt – beispielsweise zur Einhaltung von Gesetzen oder zur Untersuchung illegaler Aktivitäten – oder wenn das Unternehmen über die ausdrückliche informierte Zustimmung der Verbraucher verfügt . Darüber hinaus muss das Unternehmen seine Sicherheitsmaßnahmen mit spezifischen Anforderungen an Multi-Faktor-Authentifizierung, Verschlüsselung, Schwachstellentests und Mitarbeiterschulung verbessern.

Zusätzlich zur Benachrichtigung der Kunden über die laxen Videozugriffspraktiken, die in der Beschwerde angeführt werden, muss Ring die FTC künftig über jeden Sicherheitsvorfall informieren, der eine Benachrichtigung nach anderen Gesetzen auslöst, sowie über jeden Datenschutzvorfall, der unbefugten Zugriff auf Videos von zehn oder mehr Ring-Konten beinhaltet .

Was können andere Unternehmen in diesem Fall aus dem Vergleichsvorschlag ziehen?

Wer ist für die Daten der Verbraucher verantwortlich? Verbraucher. Verbraucher – nicht Unternehmen – sollten die Kontrolle darüber haben, wer auf ihre sensiblen Daten zugreift. Darüber hinaus belegen jahrzehntelange FTC-Präzedenzfälle, dass Unternehmen keine schwer zu findenden und schwerer verständlichen „Offenlegungen“ und Pro-forma-Kontrollkästchen verwenden können, um eine „Einwilligung“ zu erzwingen.

Algorithmen verantwortungsvoll entwickeln. Nach Angaben der FTC hat Ring ohne deren Zustimmung auf die Videos von Kunden zugegriffen, um Algorithmen zu entwickeln. Wenn Sie die KI-Arena betreten haben, ist die Botschaft der FTC klar: Die persönlichen Daten der Verbraucher sind nichts, was Unternehmen nach Belieben verwenden können. Die FTC wird Unternehmen dafür verantwortlich machen, wie sie die Verbraucherdaten erhalten und nutzen, die ihren Algorithmen zugrunde liegen. Darüber hinaus müssen Unternehmen, die auf menschliche Überprüfung angewiesen sind, um die Daten zu kennzeichnen, die zum Trainieren von Algorithmen für maschinelles Lernen verwendet werden, die ausdrückliche Zustimmung der Verbraucher einholen und Sicherheitsvorkehrungen zum Schutz der Privatsphäre und Sicherheit dieser Informationen treffen.

Die FTC lehnt den Missbrauch hochsensibler Kategorien personenbezogener Daten „biometrisch“ ab. Biometrische Daten – sei es in Form von Fingerabdrücken, Iris-Scans, Videos oder etwas anderem – gewährleisten ein Höchstmaß an Schutz. Wenn Sie die Grundsatzerklärung der FTC vom Mai 2023 zu biometrischen Informationen noch nicht gelesen haben, setzen Sie sie als nächstes auf Ihre Leseliste.

Die FTC setzt sich dafür ein, die Sicherheit der Verbraucher zu Hause zu gewährleisten. Wenn es einen Ort gibt, an dem Menschen vor neugierigen Blicken geschützt sein sollten, dann ist es zu Hause. Und wenn es eine Gruppe gibt, die zu Hause besonderen Schutz verdient, dann sind es die Kinder. Stellen Sie sich nun den Terror vor, den Menschen – darunter auch Jugendliche – erleben, wenn sie in ihren Betten von jemandem bedroht werden, der sich über ein zu Schutzzwecken gekauftes Gerät Zutritt verschafft. Das Vorgehen der FTC gegen Ring verdeutlicht die Risiken für den Datenschutz und die Sicherheit, die die unbeholfenen Datenpraktiken eines Unternehmens für Verbraucher und Kinder mit sich bringen können.

Stichworte: