No solo en casa: la FTC dice que las prácticas laxas de Ring llevaron a inquietantes violaciones de la privacidad y seguridad de los usuarios

Mar 28, 2023

Muchos consumidores que usan videoportero y cámaras de seguridad quieren detectar intrusos que invaden la privacidad de sus hogares. Los consumidores que instalaron Ring pueden sorprenderse al saber que, según un acuerdo propuesto por la FTC, un "intruso" que estaba invadiendo su privacidad era el propio Ring. La FTC dice que Ring les dio a sus empleados y a cientos de contratistas externos con sede en Ucrania acceso de video cercano y personal a las habitaciones de los clientes, las habitaciones de sus hijos y otros espacios muy personales, incluida la capacidad de descargar, ver, y compartir esos videos a voluntad. Y eso no es todo lo que Ring estaba haciendo. Además de un acuerdo financiero de $5,8 millones, la orden propuesta en el caso contiene disposiciones en la intersección de la inteligencia artificial, los datos biométricos y la privacidad personal. Es un final instructivo para otro importante caso de privacidad biométrica que anunció hoy la FTC, Amazon Alexa.

Ring vende cámaras y timbres habilitados para video conectados a Internet que millones de estadounidenses utilizan para proteger sus hogares. Ring hizo sonar esa campana de seguridad a lo largo de una extensa campaña de marketing, presentando sus productos como "Pequeño en tamaño. Grande en tranquilidad". Pero la FTC dice que a pesar de las afirmaciones de la empresa de que tomó medidas razonables para garantizar que las cámaras Ring fueran un medio seguro para que los consumidores monitorearan áreas privadas de sus hogares, la empresa exhibió un enfoque rápido y sencillo para la información altamente confidencial de los clientes.

Aunque el manual del empleado de Ring prohibía el mal uso de los datos, la conducta inquietante de algunos miembros del personal sugiere que la advertencia no valía ni el papel en el que estaba impresa. En lugar de limitar el acceso a los videos de los clientes a aquellos que lo necesitaban para realizar funciones laborales esenciales, por ejemplo, para ayudar a un consumidor a solucionar un problema con su sistema, Ring dio acceso de "rango libre" a empleados y contratistas. ¿Hay alguna duda de adónde conducirían inevitablemente esa política descuidada y los controles laxos? Durante un período de tres meses en 2017, un empleado de Ring vio miles de videos de usuarias en sus habitaciones y baños, incluidos videos de los propios empleados de Ring. En lugar de detectar lo que el empleado estaba haciendo a través de sus propios controles técnicos, Ring solo se enteró del episodio después de que una empleada lo informara. Ese es solo un ejemplo de lo que la FTC llama el "acceso peligrosamente demasiado amplio y la actitud laxa hacia la privacidad y la seguridad" de Ring.

Aunque Ring cambió algunas de sus prácticas en 2018, la FTC dice que esas medidas no resolvieron el problema. Querrá leer la queja para obtener más detalles, pero incluso después de esas modificaciones, la FTC cita ejemplos de un "túnel" no autorizado que permitió a un contratista con sede en Ucrania acceder a los videos de los clientes, un incidente en el que un empleado de Ring proporcionó información sobre la videos al ex esposo del cliente, y un informe de un denunciante de que un ex empleado había proporcionado dispositivos Ring a numerosas personas, accedió a sus videos sin su conocimiento o consentimiento, y luego se los llevó cuando dejó la empresa.

Pero las amenazas a la privacidad personal de los consumidores no solo provienen del interior de Ring. La denuncia acusa que hasta enero de 2020, Ring no abordó los riesgos que plantean dos formas conocidas de ataque en línea: "fuerza bruta" (un proceso automatizado de adivinación de contraseñas) y "relleno de credenciales" (tomar nombres de usuario y contraseñas robados durante otros infracciones y usarlos para acceder a Ring). La FTC dice que las fallas de seguridad de Ring finalmente resultaron en que más de 55,000 clientes de EE. UU. experimentaran compromisos graves de cuenta.

¿Qué tan grave fue la invasión de la privacidad de los consumidores? En muchos casos, los malos actores aprovecharon la funcionalidad de comunicación bidireccional de la cámara para acosar y amenazar a las personas cuyas habitaciones estaban monitoreadas por cámaras Ring, incluidos niños y adultos mayores. Describiendo sus experiencias como aterradoras y traumáticas, los clientes informaron numerosos casos de comportamiento amenazante que emana de voces que invaden la santidad de sus hogares a través de Ring:

Un empleado de Ring lo expresó de esta manera: "Sin saberlo, ayudamos e instigamos a aquellos [hackers] que violaron los datos al no tener mitigaciones implementadas".

Los empleados espeluznantes y los piratas informáticos siniestros no fueron los únicos que arrebataron el control de los datos personales de los consumidores. Según la demanda, sin obtener el consentimiento expreso y afirmativo de los consumidores, Ring explotó sus videos para desarrollar algoritmos de reconocimiento de imágenes, anteponiendo las ganancias potenciales a la privacidad. Ocultando su conducta en un bloque denso de jerga legal, Ring simplemente le dijo a la gente que podría usar su contenido para mejorar y desarrollar productos y luego extrapoló el supuesto "consentimiento" de una marca de verificación donde los consumidores reconocieron que aceptaban los Términos de servicio y la Política de privacidad de Ring.

La denuncia alega que Ring violó la Ley de la FTC al tergiversar que la empresa tomó medidas razonables para proteger las cámaras de seguridad del hogar del acceso no autorizado, permitió injustamente a los empleados y contratistas acceder a grabaciones de video de espacios íntimos dentro de los hogares de los clientes sin el conocimiento o consentimiento de los clientes, y falló injustamente. utilizar medidas de seguridad razonables para proteger los datos de video confidenciales de los clientes del acceso no autorizado.

Además del pago requerido de $5.8 millones para los consumidores, la orden propuesta incluye algunas disposiciones comunes en los acuerdos de la FTC y nuevas disposiciones importantes que merecen una cuidadosa atención no solo del sector tecnológico sino de cualquier empresa que use datos de consumidores (y, seamos sinceros, eso es casi todos). Querrá leer el pedido detenidamente, pero aquí hay algunos aspectos destacados. La orden prohíbe a Ring tergiversar la medida en que la empresa o sus contratistas pueden acceder a los videos, la información de pago y las credenciales de autenticación de los clientes. Además, durante el período en que Ring tuvo procedimientos inadecuados para obtener el consentimiento de los consumidores, la empresa debe eliminar todos los videos utilizados para investigación y desarrollo y todos los datos, incluidos modelos y algoritmos, derivados de esos videos.

Ring también debe implementar un programa completo de privacidad y seguridad que limite estrictamente la "revisión humana" de los videos de los clientes a ciertas circunstancias limitadas, por ejemplo, para cumplir con la ley o investigar actividades ilegales, o si la empresa tiene el consentimiento informado expreso de los consumidores. . La empresa también debe mejorar su juego de seguridad con requisitos específicos de autenticación de múltiples factores, encriptación, pruebas de vulnerabilidad y capacitación de los empleados.

Además de notificar a los clientes sobre las prácticas laxas de acceso a videos citadas en la queja, en el futuro, Ring debe notificar a la FTC sobre cualquier incidente de seguridad que desencadene una notificación en virtud de otras leyes y cualquier incidente de privacidad que involucre el acceso no autorizado a videos de diez o más cuentas de Ring. .

¿Qué pueden sacar otras empresas del acuerdo propuesto en este caso?

¿Quién está a cargo de los datos de los consumidores? Consumidores. Los consumidores, no las empresas, deben tener el control de quién accede a sus datos confidenciales. Además, décadas de precedentes de la FTC establecen que las empresas no pueden usar "divulgaciones" difíciles de encontrar y más difíciles de entender y casillas de verificación pro forma para fabricar "consentimiento".

Desarrollar algoritmos de manera responsable. Según la FTC, Ring accedió a los videos de los clientes para desarrollar algoritmos sin su consentimiento. Si ha entrado en el campo de la IA, el mensaje de la FTC es claro: la información personal de los consumidores no es agua que las empresas puedan usar a voluntad. La FTC responsabilizará a las empresas por la forma en que obtienen y utilizan los datos de los consumidores que alimentan sus algoritmos. Además, las empresas que dependen de la revisión humana para etiquetar los datos utilizados para entrenar algoritmos de aprendizaje automático deben obtener el consentimiento expreso y afirmativo de los consumidores y establecer medidas de seguridad para proteger la privacidad y la seguridad de esa información.

La FTC se opone "biométricamente" al mal uso de categorías altamente sensibles de información personal. Los datos biométricos, ya sea en forma de huellas dactilares, escaneos de iris, videos u otros, garantizan el más alto nivel de protección. Si no ha leído la Declaración de política sobre información biométrica de mayo de 2023 de la FTC, inclúyala a continuación en su lista de lectura.

La FTC trabaja para mantener seguros a los consumidores en sus hogares. Si hay un lugar donde la gente debería estar libre de miradas indiscretas, es en casa. Y si hay un grupo que merece especial protección en casa, son los niños. Ahora imagine el terror experimentado por las personas, incluidos los jóvenes, que fueron amenazados en sus camas por alguien que obtuvo acceso a través de un dispositivo comprado para protección. La acción de la FTC contra Ring demuestra los riesgos para la privacidad y la seguridad que las prácticas de datos arrogantes de una empresa pueden causar en los consumidores y los niños.

Etiquetas: