Ring customers get $5.6 million in privacy breach settlement

米連邦取引委員会は、アマゾンの従業員や請負業者によって個人的なビデオ映像に無断でアクセスされたり、セキュリティ保護が不十分だったためにアカウントやデバイスがハッキングされたりしたリングのユーザーに対し、560万ドルの返金を行う。

今回の措置は、Ring社がデバイスを不正アクセスから保護するための適切なセキュリティ対策を怠ったとして2023年5月に提訴された和解案の一部である。

Ringはアマゾンの子会社で、ビデオドアベル、屋内外セキュリティカメラ、セントラルアラームハブ、スマートセンサー、モーション起動ライトなどのスマートホームセキュリティ製品で知られている。

これらのデバイスはインターネットに接続され、ユーザーはモバイル・アプリケーションを通じてリモート・アクセスやコントロールができる。

FTCは当初の訴状で、Ring社が従業員のRingデバイスへの無制限のアクセスを許可し、従業員の生産性と開発ペースを向上させたと主張している。

さらに、Ring社は、ウクライナなどにいる数百人の第三者請負業者を含むカスタマー・サポート・エージェントにも高レベルのアクセスを許可しており、彼らは不正アクセスから顧客を守るために制限なく業務を行っていた。

内部アクセスに関する緩いポリシーとは別に、FTCは、Ringが2019年まで多要素認証(MFA)などの基本的なセキュリティ対策を実施しなかったため、ユーザーアカウントの乗っ取りが容易になり、クレデンシャル・スタッフィングやブルートフォース攻撃によってプライベートなビデオフィードへのアクセスが可能になったとも主張している。

FTCは現在、和解の一環として、11万7,000人強のRingの消費者にPayPalを通じて支払いを行っている。顧客は今後30日以内に資金を換金する必要がある。

“FTCは、無許可のユーザーが顧客のビデオにアクセスした可能性があると主張する期間に、屋内カメラなど特定のタイプのRingデバイスを持っていた消費者に117,044のPayPal支払いを送る。”-FTC

“FTCは、同社から提供されたデータに基づいて、対象となるRingの顧客を特定した。”と同機関は伝え、Ringのユーザーが “訴状で申し立てられたプライバシーとセキュリティの問題のためにアカウントが脆弱であった場合、支払いの対象となる “ことを明らかにした。

FTCがどのように支払いを行うかについての詳細は、FTCのFAQページを参照されたい。