【家用攝錄系統】Amazon產品涉違私隱 向FTC付4.2億和解

    經過多年訴訟,Amazon 將會支付 3000 萬美元(約 4.2 億港元),解決旗下的家庭安全攝錄系統 Ring 及 Alexa Virtual Assistant 智能語音助手未能確保客戶私隱安全的指控。其實這類可獲取視頻及語音使用權限的產品,雖然可以為日常帶來很多方便,但如果未能清楚公司如何使用,反而會為用家帶來危險,例如之前就有 Amazon 員工,偷用 Ring 去睇過千女用家沖涼及換衫……

    這次由聯邦貿易委員會(FTC)及司法部針對 Amazon 的指控主要分別兩部分。

    只求極速開發產品 未實施基本安全措施

    首先是指控公司員工利用 Ring 從事非法監視客戶活動,而且公司亦未能防止黑客控制用家的攝錄設備。有關的投訴聲稱,Ring 通過向員工及第三方服務公司授權訪問私人視頻,以協助客戶在有需要時解決問題,原意是好,但因公司在 2017 年 9 月以前並未實施基本的隱私和安全措施,只求快速開發產品,導致立心不良的員工及黑客,可以通過所獲權限及入侵方式,控制用家的攝錄鏡頭及儲存的視頻。

    指控並非空穴來風,例如在其中一個案例中,便發現其中一個 Amazon 員工在幾個月內,私下開啟成千上萬個女性用家在浴室及睡房等私人空間的視頻欣賞,事件一直未被發現,要等到另一個員工告發先曝光。

    同時間,Amazon 雖然已發現在 2017 年至 2018 年期間有黑客攻擊帳戶憑證去奪取 Ring 的控制權,但要等到 2019 年 Amazon 才引入多重因素驗證(MFA),令客戶曝露於私隱外洩的風險中,因此公司需支付約 580 萬美元去賠償客戶損失,並承諾禁止利用視頻數據去獲利。

    Amazon稱不同意指控 和解為解決訴訟 

    而另一項指控就與 Alexa 虛據語音助手有關,司法部及 FTC 指 Amazon Kids 違反保護兒童私隱規條,因為即使有家長要求刪除兒童的錄音數據及地理位置訊息,Amazon 都未有照做,反而繼續保存這些記錄,懷疑可能用於訓練人工智能的演算法,因此被罰款 2500 萬美元,禁止再將這些數據用於訓練人工智能及必須刪除非活躍兒童帳戶的語音及地理位置訊息。

    雖然 Amazon 承諾付款和解,但公司就表示不同意 FTC 及司法部關於 Alexa 及 Ring 的指控,否認違反法律,但希望解決事件才決定找數。另外,公司表示將刪除已經不活躍超過 18 個月的兒童資料檔案,以加強保護客戶的私隱。

    其實這些具備使用視頻及語音權限的設備真的要小心選用,如他們使用的安全措施不足,對客戶必定帶來私隱危機,例如去年海康威視(Hikivision)的監控鏡頭設備便被發現存在兩個安全漏洞,黑客可向設備發送惡意程式碼而獲取管理員權限,雖然一般都是公司客戶,但已可讓犯罪分子在公司無人時入侵,又或透過設備的權限入侵內部網絡,因此在選擇這些設備時,應特別留意生產商使用的安全政策,同時亦要留意對方有否恆常推出安全更新,如有懷疑便應揀選其他生產商。

    資料來源:https://www.bleepingcomputer.com/news/technology/amazon-faces-30-million-fine-over-ring-alexa-privacy-violations/

    相關文章: 【網安小秘笈】智能家居更方便黑客?即學5招保安全

    #AlexaVirtualAssistant #Amazon #ring #網絡保安

    相關文章