Bericht: Ring Türklingel und Überwachungskameras mit großen Sicherheitsmängeln (UPDATE)
Ring wurde im Jahr 2012 gegründet und bietet seitdem intelligente Türklingeln mit eingebauter Kamera und Internet-Konnektivität wie auch Überwachungskameras für den Innen- und Außenbereich an. Im Februar 2018 kaufte schließlich Amazon das Unternehmen auf – weltweit beschäftigt Ring 1300 Angestellte.
Nun wurde durch einen Bericht von
"The Intercept" bekannt, dass offenbar ein Entwicklungsteam von Ring aus der Ukraine, Ring Labs, völlig freien Zugriff auf fast alle jemals mit einer Ring-Kamera aufgenommenen Videos hat. Die Filme liegen in völlig unverschlüsselter Form auf einer File-Hosting-Plattform des Mutterunternehmens (genauer gesagt auf Amazon AWS S3) und können von den Angestellten von Ring Labs angesehen und ausgewertet werden. Auf Verschlüsselung der sensiblen Videos verzichtete das Unternehmen einer Aussage eines Angestellten nach, da dies mit hohen Kosten verbunden gewesen wäre.
Ring Labs verwendet die Videos, um die automatische Erkennung von Personen und Objekten zu verbessern. Aber auch US-Mitarbeiter und das höhere Management hat fast völlig freien Zugriff auf die Kamera-Videos der Kunden – sogar das Aktivieren eines Echtzeit-Streams von Kundenkameras soll für bestimmte Mitarbeitergruppen durch die einfache Eingabe der E-Mail-Adresse des Nutzers möglich sein.
Laut dem Bericht hätten sich sogar die Entwickler von Ring Labs gegenseitig ausspioniert und sich über Dates lustig gemacht, welche die Entwickler mit nach Hause gebracht haben.
Ein Pressesprecher von Ring Labs äußerte sich zu den Vorwürfen und teilt mit, dass Ring ausschließlich öffentlich verfügbare Videos, die mittels der eigenen App "Neighbors" geteilt wurden, ausgewertet habe. Außerdem seien nur Kundenvideos ausgewertet worden, bei denen der Nutzer sein Einverständnis abgegeben hätte.
Offensichtlich ist sich Amazon der Problematik nach der Übernahme bewusst geworden und hat bereits im Mai 2018 zusätzliche Sicherheitsmechanismen für die ukrainische Niederlassung Ring Labs implementiert – dem Bericht nach hätten die Mitarbeiter aber sehr schnell Wege gefunden, diese auszuhebeln.
Aktualisierung: Auf die Enthüllungen hin schickte uns eine deutsche Marketing-Agentur, welche offenbar von Ring beauftragt wurde, ein Statement unübersetzt in englischer Sprache:
We take the privacy and security of our customers’ personal information extremely seriously. In order to improve our service, we view and annotate certain Ring video recordings. These recordings are sourced exclusively from publicly shared Ring videos from the Neighbors app (in accordance with our terms of service), and from a small fraction of Ring users who have provided their explicit written consent to allow us to access and utilize their videos for such purposes. Ring employees do not have access to livestreams from Ring products.
We have strict policies in place for all our team members. We implement systems to restrict and audit access to information. We hold our team members to a high ethical standard and anyone in violation of our policies faces discipline, including termination and potential legal and criminal penalties. In addition, we have zero tolerance for abuse of our systems and if we find bad actors who have engaged in this behavior, we will take swift action against them.”
Ring does not provide and never has provided employees with access to livestreams of Ring devices.
As mentioned in our statement, Ring employees only have access to recordings that are sourced exclusively from publicly shared Ring videos from the Neighbors app (in accordance with our terms of service), and from a small fraction of Ring users who have provided their explicit written consent to allow us to access and utilize their videos for such purposes. Again, Ring employees do not have access to livestreams.“