CISO Advisor: 242.318 page views/mês - 93.273 usuários/mês - 5.338 assinantes

Amazon é multada em US$ 30 mi por violações de privacidade

Da Redação
02/06/2023

A Amazon terá que pagar US$ 30 milhões em multas por violações de privacidade relacionadas à operação de sua empresa de segurança doméstica Ring e aos serviços de assistente virtual Alexa. No caso da Ring, que produz dispositivos de segurança domiciliar como campainhas eletrônicas, câmeras de segurança e alarmes, ela foi acusada pela Federal Trade Commission (FTC), agência norte-americana que protege os interesses dos consumidores, de vigilância ilegal de clientes. O fato, segundo a FTC, aconteceu em 2017. As informações são da agência de notícias Reuters.

O órgão diz que chegou a um acordo com a companhia pelo qual ela vai pagar US$ 5,8 milhões por violação de privacidade, que serão reembolsados aos consumidores. A denúncia alega que a Ring comprometeu a privacidade de seus clientes ao conceder acesso a vídeos privados a seus funcionários e contratados. Também por ter negligenciado a implementação de medidas básicas de privacidade e segurança, permitindo que hackers ganhassem controle das câmeras e vídeos dos consumidores ao violar suas contas.

“Em busca do rápido desenvolvimento do produto, antes de setembro de 2017, a Ring não limitava o acesso aos dados de vídeo dos clientes aos funcionários que precisavam de acesso para desempenhar sua função de trabalho, por exemplo, suporte ao cliente, melhoria desse produto, etc.”, diz o laudo da FTC. Segundo o órgão, ao contrário, a Ring deu a todos os funcionários, bem como a centenas de contratados terceirizados com sede na Ucrânia, acesso total a todos os vídeos dos clientes, independentemente de o funcionário ou contratado realmente precisar desse acesso para realizar sua função de trabalho.

A FTC também destaca um caso específico em que um funcionário da Amazon visualizou milhares de gravações de vídeo de usuárias em espaços privados, como banheiros e quartos, durante vários meses. Este incidente passou despercebido pela equipe de segurança da empresa até que outro funcionário descobriu e delatou.

O órgão aponta ainda que a Ring falhou em implementar salvaguardas essenciais como autenticação multifator (MFA) até 2019, embora ciente de vários ataques de preenchimento de credenciais que visavam seus clientes em 2017 e 2018. Além disso, mesmo depois de ter adicionado suporte ao MFA, a implementação inadequada comprometia sua eficácia.

Em outro caso, a FTC e o Departamento de Justiça dos EUA acusaram a Amazon de violar as leis de privacidade das crianças depois de não deletar suas gravações de voz e informações de geolocalização a pedido de seus pais. Neste caso, a Amazon terá de pagar US$ 25 milhões e excluir os dados das crianças a pedido de seus pais.

Veja isso
Amazon Prime Video tem dados sobre hábitos de usuários vazados
App de videoporteiro da Amazon exibia até as gravações

O órgãos também proibiram a Amazon de usar dados de crianças para treinar seus algoritmos e exigirá a exclusão de contas infantis inativas e gravações de voz vinculadas e dados de geolocalização. “A Amazon também falhou por um período significativo de tempo em honrar os pedidos dos pais para deletar as gravações de voz de seus filhos, continuando a reter as transcrições dessas gravações e deixando de divulgar que estava fazendo isso, também em violação da COPPA”, diz o laudo. Além disso, diz o documento, “a Amazon não conseguiu excluir as informações de voz e geolocalização dos usuários mediante solicitação e, em vez disso, reteve esses dados para seu próprio uso potencial”.

A Amazon emitiu um comunicado em que nega a violação e diz  proteger a privacidade dos clientes. “Na Amazon, levamos muito a sério nossas responsabilidades com nossos clientes e suas famílias. Nossos dispositivos e serviços são criados para proteger a privacidade dos clientes e para fornecer aos clientes controle sobre sua experiência. Embora discordemos das reivindicações da FTC em relação ao Alexa e ao Ring e neguemos a violação da lei, esses acordos deixaram esses assuntos para trás”, diz a nota.

Como parte do acordo, a empresa concordou em removeremos os perfis de crianças inativas por mais de 18 meses, a menos que um dos pais ou responsável opte por mantê-los. No caso da Ring, ela diz que  tratou dos problemas em questão por conta própria anos atrás, bem antes de a FTC iniciar sua investigação. “Nosso foco tem sido e continua sendo o fornecimento de produtos e recursos que nossos clientes adoram, mantendo nosso compromisso de proteger sua privacidade e segurança”, finaliza o comunicado.

Compartilhar: