Malwarebytesは6月1日(米国時間)、「Amazon's Ring cameras were used to spy on customers」において、Amazonの子会社であるRingの従業員による顧客のビデオカメラへの不正アクセスがあったと伝えた。この問題で、Ringに対し米国連邦取引委員会(FTC: Federal Trade Commission)から訴訟が起こされており、580万ドルの和解金の支払いが求められていることが明らかとなった。

  • Amazon's Ring cameras were used to spy on customers

    Amazon's Ring cameras were used to spy on customers

FTCが提起した訴状によると、Amazonの従業員が仕事に必要ないにもかかわらずAmazon Ringの顧客のビデオに容易にアクセスすることができたという。さらに、ウクライナの第三者請負会社の労働者と協力して、2017年7月以前のビデオをダウンロードし、保存および共有することも可能だったとされている。

FTCの訴訟の一部に、従業員による不正アクセスの一例が報告されている。具体的には、Ringの従業員がベッドルームやバスルームなど最もプライベートな場所で使われた可能性のあるカメラ映像を探し、少なくとも81人の女性ユーザーの数千のビデオ映像を閲覧したことが確認されている。この従業員は2017年6月から8月にかけて1日1時間以上、何百回ものビデオを閲覧したとされている。

Ringはこの問題を把握し、2017年9月に当該の従業員のアクセス権を制限している。しかしながら、その後も何百人もの従業員やサードパーティの請負業者に対しては、アクセスする必要性の有無にかかわらず、すべてのビデオデータへアクセスすることを許可し続けていたという。

従業員によるアクセス権の乱用に関してはさらなる例がいくつか取り上げられており、Ringが従業員の不適切なアクセスの実態を正確に把握できていなかったと指摘されている。2019年2月以前に不適切なアクセスを監視および検出する基本的な対策を実施しなかったために、顧客の機密映像データへの不適切なアクセスが実際に何件発生したかからないと結論付けられている。

2019年2月以降ほとんどのRingの従業員および契約社員は、顧客のプライベートビデオにアクセスするには顧客の同意がある場合に限り、顧客のプライベートビデオにアクセスできるようになったと伝えられている。また罰金とは別に、Ringは2018年以前にRingが入手した顧客の動画から収集したデータを削除することが命じられている。