Todos y cada uno de los empleados de Amazon Ring podían acceder a todos y cada uno de los vídeos de los clientes, incluso cuando no era necesario para su trabajo.
No solo eso, sino que los empleados -junto con trabajadores de un contratista externo en Ucrania- también podían descargar cualquiera de esos vídeos y luego guardarlos y compartirlos como quisieran, antes de julio de 2017.
Un empleado de Ring vio miles de vídeos de al menos 81 usuarias diferentes.
El empleado supuestamente fue en busca de imágenes de cámaras que sugirieran que podrían haber sido utilizadas en las zonas más privadas, como “Dormitorio principal”, “Baño principal” y “Cámara espía”.
Entre junio y agosto de 2017, el empleado miró los vídeos durante al menos una hora al día en cientos de ocasiones. Otro empleado se dio cuenta y se lo comunicó a su supervisor, quien supuestamente le dijo que era “normal” que un ingeniero viera tantas cuentas.
Ring restringió los derechos de acceso de sus empleados en septiembre de 2017, de modo que los clientes tenían que dar su consentimiento para que los agentes de atención al cliente accedieran a sus vídeos.
Sin embargo, siguió permitiendo que cientos de otros empleados y contratistas de terceros accedieran a todos los datos de vídeo, independientemente de si realmente los necesitaban para realizar su trabajo.
Los clientes no tenían ni idea de que sus vídeos podían ser accedidos por tantos empleados.
La FTC afirma que antes de diciembre de 2017, las condiciones de servicio y la política de privacidad de Ring no decían que los empleados y contratistas de Ring tendrían derecho a revisar todas las grabaciones de vídeo para mejorar y desarrollar el producto:
En medio de largos términos densos de jerga legal, Ring se limitaba a describir el derecho de la empresa a utilizar las grabaciones obtenidas en relación con el servicio en la nube de Ring (entonces llamado Doorbot) para la mejora y el desarrollo de productos.
La empresa tampoco implementó medidas de seguridad básicas para proteger a los usuarios de amenazas como el relleno de credenciales y los ataques de fuerza bruta, a pesar de las advertencias de empleados e investigadores de seguridad externos, ni implementó la autenticación multifactor (MFA) hasta mayo de 2019, mucho después de que muchos competidores lo hubieran hecho.
Además tuvieron varios incidentes de seguridad. Entre enero de 2019 y marzo de 2020, la FTC alega que más de 55.000 clientes vieron comprometidos sus dispositivos Ring.
En algunos casos, terceros usaron la comunicación bidireccional para perseguir a los clientes de Ring:
- Varias mujeres tumbadas en la cama oyeron cómo los hackers les maldecían.
- A varios niños les lanzaron insultos racistas.
- A una anciana de una residencia asistida le hicieron proposiciones sexuales y la amenazaron físicamente.
- Un intruso digital le dijo a una mujer a través de su cámara que habían matado a su madre, y luego dijo: “Esta noche morirás”.
- A una mujer le dijeron que estaban rastreando su ubicación y que su dispositivo se autodestruiría al final de una cuenta atrás. Desconectó el dispositivo antes de que finalizara la cuenta atrás.
En otro acuerdo anunciado el mismo día, Amazon aceptó pagar 25 millones de dólares por no proteger la privacidad de los niños.
Amazon conservó durante años la información de voz y geolocalización de Alexa asociada a niños mientras impedía a los padres hacer uso de sus derechos a eliminar los datos de sus hijos en virtud de la norma Children’s Online Privacy Protection Act (COPPA).
Los patrones de habla de los niños podrían haber sido especialmente valiosos para Amazon, ya que difieren de los de los adultos:
“Los patrones de habla de los niños son notablemente diferentes de los de los adultos, por lo que las grabaciones de voz de Alexa proporcionaron a Amazon un valioso conjunto de datos para entrenar el algoritmo de Alexa y promover el interés comercial de Amazon en el desarrollo de nuevos productos.”
Amazon es la empresa líder del mercado 
@trust_level_1 sabíans que pueden ser anónimos en Criptonautas?