La Comisión Federal de Comercio de EE. UU. (FTC, por sus siglas en inglés) ha multado a Amazon con una suma acumulada de 30,8 millones de dólares por una serie de fallas en la privacidad relacionadas con su asistente Alexa y las cámaras de seguridad Ring.
Esto comprende una multa de $ 25 millones por violar las leyes de privacidad de los niños al retener sus grabaciones de voz de Alexa por períodos de tiempo indefinidos y evitar que los padres ejerzan sus derechos de eliminación.
«Se violó el historial de Amazon de engañar a los padres, mantener las grabaciones de los niños indefinidamente y desobedecer las solicitudes de eliminación de los padres. COPPA y sacrificó la privacidad por las ganancias», dijo Samuel Levine de la FTC.
Como parte de la orden judicial, se ordenó al gigante minorista que elimine la información recopilada, incluidas las cuentas de niños inactivas, los datos de geolocalización y las grabaciones de voz, y se le prohibió recopilar dichos datos para entrenar sus algoritmos. También está obligado a revelar a los clientes sus prácticas de retención de datos.
Amazon también acordó desembolsar $ 5.8 millones adicionales en reembolsos al consumidor por violar la privacidad de los usuarios al permitir que cualquier empleado o contratista obtenga un acceso amplio y sin restricciones a videos privados grabados con cámaras Ring.
«Por ejemplo, un empleado durante varios meses vio miles de grabaciones de video pertenecientes a usuarias de cámaras Ring que vigilaban espacios íntimos en sus hogares, como sus baños o dormitorios», dijo la FTC. anotado. «El empleado no fue detenido hasta que otro empleado descubrió la mala conducta».
La autoridad de protección al consumidor, además de culpar a Amazon por no notificar adecuadamente a los clientes u obtener su consentimiento antes de usar las grabaciones capturadas para mejorar el producto, llamó a la empresa por no implementar controles de seguridad adecuados para proteger las cuentas de usuario de Ring.
Las violaciones «atroces» expusieron a los usuarios al relleno de credenciales y ataques de fuerza bruta, lo que permitió a los delincuentes tomar el control de las cuentas y obtener acceso no autorizado a las transmisiones de video.
«Los malos actores no solo vieron los videos de algunos clientes, sino que también usaron la funcionalidad bidireccional de las cámaras Ring para acosar, amenazar e insultar a los consumidores, incluidos los ancianos y los niños, cuyas habitaciones eran monitoreadas por las cámaras Ring y para cambiar configuraciones importantes del dispositivo. » él explicado.
«Los piratas informáticos se burlaron de varios niños con insultos racistas, propusieron a individuos sexualmente y amenazaron a una familia con daño físico si no pagaban un rescate».
Se estima que más de 55 000 clientes estadounidenses vieron comprometidas sus cuentas entre enero de 2019 y marzo de 2020 como resultado de estas políticas laxas.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
El acuerdo propuesto requiere además que Amazon elimine todos los videos y datos faciales de los clientes que obtuvo ilegalmente antes de 2018, y también elimine cualquier producto de trabajo derivado de esos videos.
Si bien ambos acuerdos deben ser aprobados por un tribunal para que surtan efecto, Amazonas dicho «Tomamos nuestras responsabilidades con nuestros clientes y sus familias muy en serio» y que «se toman medidas consistentemente para proteger la privacidad del cliente al proporcionar divulgaciones de privacidad claras y controles del cliente, […] y mantener estrictos controles internos para proteger los datos de los clientes».
El desarrollo llega semanas después de la FTC acusado Meta de violar «repetidamente» sus promesas de privacidad y engañar a los padres sobre su capacidad para controlar con quién se comunicaban sus hijos a través de su aplicación Messenger Kids entre finales de 2017 y mediados de 2019.
El regulador también está buscando una prohibición general que prohíba a la empresa beneficiarse de los datos de los niños. Meta tiene etiquetado las acusaciones como un «truco político» y dijo que opera un «programa de privacidad líder en la industria».