Стартап Ring, приобретенный интернет-гигантом Amazon в прошлом году, оказался в центре скандала: видеозаписи с умных камер в жилых домах хранились в незашифрованном виде, более того, разработчики сервисов имели практически неограниченный доступ к ним и могли просматривать происходящее в доме в режиме реального времени.
В ходе расследования журналисты The Intercept выяснили, что сотрудники стартапа Ring, специализирующегося на производстве умных гаджетов в сфере безопасности дома, весьма небрежно обращались с данными владельцев своих устройств: они не только имели доступ к архивным записям, но и могли наблюдать за происходящим в домах клиентов в режиме реального времени. Так, по словам информированных источников, с 2016 года украинская команда программистов имела практически неограниченный доступ к папке в облачном сервисе Amazon S3, в котором содержались видео, отснятые Ring.
При передаче доступа файлы оставляли в незашифрованном виде из-за опасений руководства Ring, что внедрение шифрования негативно скажется на рыночной стоимость компании.
Кроме того, группа разработчиков в США, имеющих привилегированный доступ к порталу технической поддержки, могла круглосуточно просматривать видео в режиме реального времени вне зависимости от того, действительно ли это требовалось в рабочих целях. При этом, чтобы запустить трансляцию, необходимо было знать только почту владельца устройств.
Программисты получили возможность просмотра видео для доработки алгоритмов системы распознавания: например, умный дверной замок не всегда верно различал живые и неживые объекты. Так, система могла принять дерево на улице за потенциального вора, а пользователи получали оповещения о взломе из-за проезжающей машины или упавшей с дерева листвы. Доработка сервисов отстраивалась в ручном режиме — разработчики маркировали объекты в зависимости от их принадлежности. Причем в политике конфиденциальности стартапа не уточняется, при помощи каких средств система занимается распознаванием объектов.
Источники издания отмечают, что не обнаружили совсем грубых нарушений, однако узнали о ряде неподобающих ситуаций. Например, разработчики просматривали записи с наружных и внутренних камер своих коллег и шутили над тем, с кем те вернулись домой после свиданий.
Комментируя результаты расследования, представитель Ring Ясси Шамири заявил, что «сотрудники Ring никогда не имели и не предоставляли доступ сотрудникам для просмотра видео в режиме реального времени».