Bericht: Ring Türklingel und Überwachungskameras mit großen Sicherheitsmängeln (UPDATE)

Ring wurde im Jahr 2012 gegründet und bietet seitdem intelligente Türklingeln mit eingebauter Kamera und Internet-Konnektivität wie auch Überwachungskameras für den Innen- und Außenbereich an. Im Februar 2018 kaufte schließlich Amazon das Unternehmen auf – weltweit beschäftigt Ring 1300 Angestellte.


Nun wurde durch einen Bericht von "The Intercept" bekannt, dass offenbar ein Entwicklungsteam von Ring aus der Ukraine, Ring Labs, völlig freien Zugriff auf fast alle jemals mit einer Ring-Kamera aufgenommenen Videos hat. Die Filme liegen in völlig unverschlüsselter Form auf einer File-Hosting-Plattform des Mutterunternehmens (genauer gesagt auf Amazon AWS S3) und können von den Angestellten von Ring Labs angesehen und ausgewertet werden. Auf Verschlüsselung der sensiblen Videos verzichtete das Unternehmen einer Aussage eines Angestellten nach, da dies mit hohen Kosten verbunden gewesen wäre.

Ring Labs verwendet die Videos, um die automatische Erkennung von Personen und Objekten zu verbessern. Aber auch US-Mitarbeiter und das höhere Management hat fast völlig freien Zugriff auf die Kamera-Videos der Kunden – sogar das Aktivieren eines Echtzeit-Streams von Kundenkameras soll für bestimmte Mitarbeitergruppen durch die einfache Eingabe der E-Mail-Adresse des Nutzers möglich sein.

Laut dem Bericht hätten sich sogar die Entwickler von Ring Labs gegenseitig ausspioniert und sich über Dates lustig gemacht, welche die Entwickler mit nach Hause gebracht haben.


Ein Pressesprecher von Ring Labs äußerte sich zu den Vorwürfen und teilt mit, dass Ring ausschließlich öffentlich verfügbare Videos, die mittels der eigenen App "Neighbors" geteilt wurden, ausgewertet habe. Außerdem seien nur Kundenvideos ausgewertet worden, bei denen der Nutzer sein Einverständnis abgegeben hätte.

Offensichtlich ist sich Amazon der Problematik nach der Übernahme bewusst geworden und hat bereits im Mai 2018 zusätzliche Sicherheitsmechanismen für die ukrainische Niederlassung Ring Labs implementiert – dem Bericht nach hätten die Mitarbeiter aber sehr schnell Wege gefunden, diese auszuhebeln.

Aktualisierung: Auf die Enthüllungen hin schickte uns eine deutsche Marketing-Agentur, welche offenbar von Ring beauftragt wurde, ein Statement unübersetzt in englischer Sprache:
We take the privacy and security of our customers’ personal information extremely seriously. In order to improve our service, we view and annotate certain Ring video recordings. These recordings are sourced exclusively from publicly shared Ring videos from the Neighbors app (in accordance with our terms of service), and from a small fraction of Ring users who have provided their explicit written consent to allow us to access and utilize their videos for such purposes. Ring employees do not have access to livestreams from Ring products.

We have strict policies in place for all our team members. We implement systems to restrict and audit access to information. We hold our team members to a high ethical standard and anyone in violation of our policies faces discipline, including termination and potential legal and criminal penalties. In addition, we have zero tolerance for abuse of our systems and if we find bad actors who have engaged in this behavior, we will take swift action against them.”

Ring does not provide and never has provided employees with access to livestreams of Ring devices.
As mentioned in our statement, Ring employees only have access to recordings that are sourced exclusively from publicly shared Ring videos from the Neighbors app (in accordance with our terms of service), and from a small fraction of Ring users who have provided their explicit written consent to allow us to access and utilize their videos for such purposes. Again, Ring employees do not have access to livestreams.“

Kommentare

Keepo
Keepo11.01.19 10:14
Wer hätte das gedacht
Er kam, sah und ging wieder.
+10
trw
trw11.01.19 10:20
" ... bei denen der Nutzer sein Einverständnis abgegeben hätte. ..."

Wenn ich solche Sätze schon höre.
Das ist doch (leider meist) der übliche Trick.

Und ein normaler Endverbraucher kann das (technisch/inhaltlich) meist doch nicht einmal ganz verstehen/nachvollziehen bzw solche Sachen werden "versteckt" oder nur "schwammig" erwähnt.

Ich glaube kaum, das Endverbraucher zustimmen würden, wenn ausdrücklich VOR einer Aktivierung z.B. "Wir können uns jederzeit alles anschauen und auswerten, bist du damit einverstanden?" o.ä. deutlich als Information auftrauen würde.
+10
Mendel Kucharzeck
Mendel Kucharzeck11.01.19 10:28
trw
Ja, die "Verklausulierung" oder Verstecken in EWIG langen Nutzungsbedingungen ist schon ewig ein probates Mittel, solch ein Einverständnis einzuholen.

"bla bla bla.....Kreditkartendaten nach Korea verkaufen....bla bla bla....leicht entflammbar.....bla bla bla....Produkt weist keinerlei zugesicherte Eigenschaften auf....bla bla bla....zu Werbezwecken ständig aktives Mikrofon....bla bla bla....setzen Unternehmen XYZ als Alleinerben ein....bla bla bla"
+13
jlattke11.01.19 10:30
Das sind mal leckere Datenschutzverstöße bei denen die zahnlose EU wieder nichts unternimmt. Aber der kleine Turnverein würde ordentlich auf die Nüsse bekommen. Irgendwie pestet einen der Umgang und das entsprechende Bewusstsein der Großen nur an. Die maximalen 4% wären mal ein Zeichen!

@Mendel
Das bringt's auf den Punkt.
-3
trw
trw11.01.19 10:35
Mendel Kucharzeck
trw
Ja, die "Verklausulierung" oder Verstecken in EWIG langen Nutzungsbedingungen ist schon ewig ein probates Mittel, solch ein Einverständnis einzuholen. ...


Ja, leider.

Dabei fällt mir ein, dass ich z.B. selber an zwei "Objekten" ca. 8 Kameras (Welcome und Presence von Netatmo) nutze.
Da sollte ich vielleicht doch glatt selber mal in den AGB etwas genauer schauen ....
0
Tirabo11.01.19 10:46
jlattke
Das sind mal leckere Datenschutzverstöße bei denen die zahnlose EU wieder nichts unternimmt. Aber der kleine Turnverein würde ordentlich auf die Nüsse bekommen. Irgendwie pestet einen der Umgang und das entsprechende Bewusstsein der Großen nur an. Die maximalen 4% wären mal ein Zeichen!

Das ist doch totaler Bullshit und gehört in die typisch unreflektierte EU-Bashing Schublade.
Die ist bei denen immer schuld, egal was und wie sie es macht.
Hinter so etwas steckt in meinen Augen noch eine ganz andere Ideologie.
+10
locoFlo
locoFlo11.01.19 10:50
Nobody dies as a virgin, life fucks us all. KC
+5
Boney11.01.19 11:15
Ich finde einige Smarthome-Funktionen nüztlich, die Haustür (und Türen allgemein) würde ich aber nie einbinden wollen, aus Sicherheitsbedenken.
Also die Schlösser würde immer klassisch mit Schlüssel aufschließen wollen. Dann doch lieber nur eine Türkamera.

Besondrs fahrlässig finde ich diese aufgesetzten E-Schlösser, wo der Haustürschlüssel stecken bleibt, der von eine Mechanismus gedreht wird.
0
jlattke11.01.19 11:15
@Tirabo
Das war nicht meine Absicht – und das soll es auch nicht sein. Mir ging es z.B. um die EU-DSGVO, die das richtige will, es aber falsch bzw komplex regelt. Und dennoch entsprechende Schlupflöcher lässt. Und am Ende wird nur bei kleinen Fischen hart durchgegriffen. Weil man Sorge hat sich bei den ganz großen die Zähne auszubeißen (bzw. weil man einfach zulange wegschaut). In USA werden gesetzte Regeln an entsprechender Stelle eingefordert. Das hat Toyota auf die harte Tour gelernt und VW gerade zu spüren bekommen … Da werden Exempel statuiert um anderen zu zeigen: so nicht!

EU-Bashing liegt mir fern – nur einige Dinge laufen manchmal eher eigenwillig. Wenn's trotzdem wie populistisches Trompetertum rüberkam tut mir das leid.
+12
joschbah
joschbah11.01.19 12:58
Die Meldung bestätigt mich in meinem Misstrauen gegenüber herstellergebundenen (-gezwungenen) Cloudlösungen für Türsprechstellen.

Außerdem ist dieses Ring-Dings ein einfacher Aufputz-Plastikkasten, den der Herr Vandale fast mit bloßen Händen aus der Wand reißen kann. Minderwertige Ausführung, nicht günstig, sondern billig. Dafür ist die Nutzung (aller Funktionen) dann gar nicht billig, sie schlägt mit 100€/Jahr zu Buche.
+4
Sailor11.01.19 13:22
jlattke
@Tirabo
Mir ging es z.B. um die EU-DSGVO, die das richtige will, es aber falsch bzw komplex regelt. Und dennoch entsprechende Schlupflöcher lässt. Und am Ende wird nur bei kleinen Fischen hart durchgegriffen. ... In USA werden gesetzte Regeln an entsprechender Stelle eingefordert. Das hat Toyota auf die harte Tour gelernt und VW gerade zu spüren bekommen … Da werden Exempel statuiert um anderen zu zeigen: so nicht!

ad 1.: Bei der EU-DSGVO handelt es sich im wesentlichen um das alte deutsche BDatenSG, das zur Vereinheitlichung der Rechtslage innerhalb der EU - auf deutsche Veranlassung - auf eine europäische Ebene gehoben wurde. Es obliegt den nationalen Datenschutzbehörden es anzuwenden und durchzusetzen. Die EU hat damit überhaupt nichts zu tun.

ad 2.: In den USA werden die Regeln genutzt, unliebsame Wettbewerber aus nationalen Interessen aus dem Rennen zu nehmen: VW und Toyota werden hart bestraft, Chrysler nicht ( wobei ich das überhebliche geschäftliche Gebaren insb. der deutschen Autokonzerne nicht verteidigen will - eine passende Kommentierung verkneife ich mir )
0
Bigflitzer11.01.19 16:35
Boney
Besondrs fahrlässig finde ich diese aufgesetzten E-Schlösser, wo der Haustürschlüssel stecken bleibt, der von eine Mechanismus gedreht wird.

Warum? Der Mechanismus ist innen und ich habe auch bei Anwesenheit meinen Schlüssel im Schloss. Dem Schloss ist es auch total egal denn von aussen kann man auch mit einem anderen Schlüssel aufschliessen.
0
cps11.01.19 19:25
jlattke
In USA werden gesetzte Regeln an entsprechender Stelle eingefordert. Das hat Toyota auf die harte Tour gelernt und VW gerade zu spüren bekommen … Da werden Exempel statuiert um anderen zu zeigen: so nicht!

GM kam in Relation schon günstiger weg, da gab es ja die Geschichte mit den Zündschlössern. Bei Toyota ist ja nicht mal die Schuldfrage wirklich klar, ein Gutachten im Auftrag der NHTSA sprach ja davon, das viele der gemeldeten Unfälle auf Fehler der Fahrer zurückzuführen seien.
0
Wurzenberger
Wurzenberger12.01.19 22:56
Oh, ein unsicheres Internet-of-Things-Produkt. Wie erstaunlich.
+3
Mecki
Mecki15.01.19 18:17
Es gibt bei diesen System, genau wie bei den meisten IoT Systemen, eigentlich gar keinen Grund, warum diese Videos, sofern es überhaupt nötig ist, sie irgendwo zu speichern, nicht beim Upload mit einem Schlüssel verschlüsselt werden, den nur der Eigentümer des Gerätes hat, der somit als einziger diese Videos dann auch anschauen kann. Der einzige wahre Grund, warum das nicht der Fall ist, ist dass so die Hardware bzw. die Softwareentwicklung, umgerechnet auf den Stückpreis, ein paar Euro teurer gewesen wäre. Dass man mit so einem Produktfeature am Endes sogar werben kann und somit ggf. mehr Absatz schafft als einen die paar Euro mehr jemals gekostet hätten, soweit denken dann aber Manager leider erst gar nicht.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen