据美国联邦贸易委员会(FTC)周三发布的一份声明称,该委员会已经发布了一项针对Ring的拟议命令,要求这家监控摄像头制造商支付580万美元的消费者退款,并禁止该公司从非法获取的消费者视频中获利。美国联邦贸易委员会的起诉书称,黑客侵入了属于美国客户的5.5万个Ring账户,在某些情况下,他们可以访问连接的设备超过一个月。
在联邦贸易委员会采取这一举措之前,主板发布了几项调查,调查对象是2019年12月全国各地针对Ring账户及其各自相机的黑客攻击浪潮。Motherboard发现黑客在犯罪论坛上讨论创建工具来侵入Ring账户;发现了一个播客,黑客在其中直播对毫无戒心的受害者的骚扰;最后通过自己购买和测试Ring摄像头,详细记录了Ring账户的无数安全问题。
“因为Ring没有采取这些措施,所以攻击继续成功,”联邦贸易委员会对Ring的投诉中写道。“例如,2019年12月12日,知名媒体开始发布有关被黑客入侵的Ring设备的报道,黑客利用摄像头骚扰和威胁儿童和家庭。”
在5.5万个账户被入侵的过程中,黑客在很多情况下都走得更远。起诉书称,黑客还访问了与约1250台Ring设备相关的至少910个美国账户,访问了存储的视频、直播或查看了客户的个人资料。
在Motherboard 2019年12月关于Ring安全问题的调查中,我们指出Ring允许人们从未知的IP地址登录,即使同时从世界各地的多个国家连接;该公司没有让用户看到目前有多少用户登录了自己的账户;环不检查用户的密码哈希对已知的泄露凭据;缺乏对未知登录的短信验证;允许不受限制地访问Tor匿名网络;Ring似乎没有部署任何形式的速率限制,以阻止黑客一次又一次地快速连续输入可能的密码。具体来说,所有这些都使“凭证填充”和“蛮力”攻击对黑客来说更容易。
联邦贸易委员会在自己的投诉中指出了主板当时发现的大致相同的问题。
美国联邦贸易委员会消费者保护局局长塞缪尔·莱文在声明中表示:“Ring无视隐私和安全,使消费者受到监视和骚扰。”“联邦贸易委员会的命令清楚地表明,将利润置于隐私之上是行不通的。”
除了账户安全问题,Ring员工还在未经同意的情况下访问了消费者的内容。根据拟议的命令,Ring将被要求删除从非法审查的视频中获得的数据产品,并实施隐私和安全计划以及“其他严格的安全控制措施,例如对员工和客户帐户进行多因素认证,”公告补充道。
该命令需要得到联邦法院的批准才能生效。Ring没有立即回应置评请求。
