據(jù)外媒報道,在一封致信國會議員有關(guān)其安全做法的信中,亞馬遜旗下的監(jiān)控攝像頭品牌Ring承認,在過去四年中,該公司已解雇了四名因濫用權(quán)利訪問用戶視頻數(shù)據(jù)的員工。周一Ring將這封信發(fā)送給五位參議員,以回應(yīng)他們在11月發(fā)送給Ring的一封信,信中對公司的安全實踐提出了許多疑問。
在過去的四年中,Ring收到了有關(guān)團隊成員訪問Ring視頻數(shù)據(jù)的四項投訴或詢問。盡管參與這些事件的每個人都有權(quán)查看視頻數(shù)據(jù),但是嘗試訪問該數(shù)據(jù)超出了其工作職能所必需的。在每種情況下,一旦得知這些行為,Ring便立即調(diào)查該事件,并在確定該個人違反公司政策后將其解雇。
Ring提到的事件可能與The Information和Ring 的攔截有關(guān)的報告有關(guān),該報告使總部位于烏克蘭的研發(fā)團隊能夠無限制地訪問每一個創(chuàng)建的Ring視頻到Amazon Web服務(wù)器。
在對參議員的回應(yīng)中,Ring否認其位于烏克蘭的研發(fā)團隊具有這種訪問權(quán)限,但確實指出有三名員工訪問了存儲的客戶視頻,以幫助維護Ring的AWS基礎(chǔ)設(shè)施:
...我們的研發(fā)團隊只有在獲得其明確同意的情況下,才能訪問公開視頻和Ring員工、承包商以及員工或承包商的朋友和家人的視頻。此外,在解決特定客戶問題時,客戶可以明確表示同意我們的客戶服務(wù)部門提供對實時攝像頭畫面的臨時訪問。除此之外,為了維護Ring的AWS基礎(chǔ)架構(gòu),數(shù)量非常有限的員工(目前為三名)具有訪問存儲的客戶視頻的能力。
Ring還聲稱,“它不知道有任何違反客戶個人識別信息的情況,需要向政府機構(gòu)報告。”但該公司表示,正在看到來自其他站點的盜竊登錄憑據(jù)被用于訪問Ring設(shè)備。
Ring在信中指出,其鼓勵用戶使用雙因素身份驗證,現(xiàn)在新帳戶需要使用雙因素身份驗證。參議員Ron Wyden(D-OR)在發(fā)給The Verge的聲明中說道,Ring需要做更多的事情來保護Ring用戶的帳戶:
新帳戶需要使用雙因素身份驗證是朝正確方向邁出的一步,但是有數(shù)百萬消費者已經(jīng)在家中擁有Ring攝像頭,他們?nèi)匀徊槐匾厥艿胶诳偷墓?。亞馬遜需要走得更遠–通過雙因素身份驗證保護所有Ring設(shè)備。了解到Ring對用戶視頻的加密也落后于其他公司,后者確保只有用戶才具有訪問其數(shù)據(jù)的加密密鑰,這也令人不安。
Ring的數(shù)據(jù)安全實踐受到了持續(xù)的審查,特別是與執(zhí)法部門共享的數(shù)據(jù)。例如,在8月,Vice報道說,警察部門已要求Ring共享通過補貼計劃購買Ring攝像頭的人的個人信息。Vice在9月份報道說,Ring向佐治亞州警察局提供了該地區(qū)Ring所有者的“活躍攝像頭”地圖。最近,BuzzFeed新聞報道,由于黑客接管了Ring設(shè)備的事件,Ring被起訴。
關(guān)鍵詞: