Amazon zahlt 31 Millionen Dollar wegen heftigen Datenschutz-Verstössen

1. Juni 2023 um 14:10
  • security
  • datenschutz
  • amazon
  • iot
  • regulierung
image
Foto: Mario Heller / Unsplash

Mit den smarten Geräten Alexa und Ring hat der Konzern die Privatsphäre der Nutzenden schwer verletzt. Für einige Anwenderinnen wurden Albträume zur Realität.

Amazon hat sich mit der US-Aufsichtsbehörde FTC über eine Strafzahlung von fast 31 Millionen Dollar geeinigt. Der Konzern habe die Privatsphäre der Nutzenden verletzt, so der Vorwurf der Behörde. Mit der Zahlung wird die Sache beigelegt.
Es geht um zwei unterschiedliche Vorwürfe im Zusammenhang mit den Abteilungen Alexa und Ring.
25 Millionen Dollar zahlt Amazon im Zusammenhang mit Alexa. Gemäss der FTC hat der Konzern gegen den "Children's Online Privacy Protection Act" (COPPA) verstossen. Dieser regelt, wie Unternehmen mit den persönlichen Daten von Kindern unter 13 Jahren umzugehen haben. Über Jahre hinweg habe Amazon Sprach- und Geolokalisierungs-Daten von jungen Nutzern gespeichert, obwohl Eltern die Löschung der Daten gefordert hatten.
Zudem habe das Unternehmen bei Alexa anfallende User-Daten aufbewahrt, um sie selber potenziell nutzen zu können. Auch hier heisst es, die Daten seien trotz einer entsprechenden Aufforderung von Nutzenden nicht gelöscht worden.
In einer Stellungnahme schreibt das Unternehmen: "Wir haben Alexa mit strengen Datenschutzbestimmungen und Kundenkontrollen ausgestattet, Amazon Kids so entwickelt, dass es COPPA-konform ist, und mit der FTC zusammengearbeitet, bevor wir Amazon Kids auf Alexa ausgeweitet haben." Als Teil der Einigung mit der FTC werde das Unternehmen "eine kleine Anpassung" der Richtlinien vornehmen und Kinderprofile löschen, die seit über 18 Monaten inaktiv sind. Es sei sei , ein Elternteil oder Erziehungsberechtigter entscheidet sich dafür, sie zu behalten.

Mitarbeitende schauten Ring-Videomaterial an

Zudem gibt es eine Busse für Amazon Ring in der Höhe von 5,8 Millionen Dollar, wie aus einem Dokument eines Bundesgerichts im District of Columbia in den USA hervorgeht.
Amazon hat Ring 2018 übernommen. Das Portfolio umfasst Wlan-fähige Überwachungskameras für den Innen- und Aussenbereich, die sich mit Smartphones verbinden lassen. Die FTC sagt, Amazon habe es "Tausenden von Mitarbeitenden und Auftragnehmern" ermöglicht, Aufnahmen von Kundinnen und Kunden einzusehen. Die Angestellten seien in der Lage gewesen, die Videodaten, die unverschlüsselt gespeichert worden seien, für eigene Zwecke einzusehen und herunterzuladen.
Der FTC-Beschwerde zufolge sah sich ein Mitarbeiter vor einigen Jahren Tausende von Videoaufnahmen an, die weiblichen Nutzerinnen von Ring-Kameras gehörten und "intime Bereiche in ihren Häusern wie Badezimmer oder Schlafzimmer" zeigten. Schliesslich sei dies von einer Kollegin bemerkt worden. Die Missstände seien aber von einem Vorgesetzten zunächst noch ignoriert worden. Dieser habe gesagt, es sei für einen Ingenieur "normal", so viele Konten einzusehen, wird von der FTC ausgeführt.
Ring habe zwar auf diesen Vorfall von 2017 reagiert, indem das Unternehmen den Zugang zu Videos einschränkte. Dies allerdings nur für Kundendienstmitarbeitende, andere Angestellte hätten weiterhin auf die Aufnahmen zugreifen können. Ring schreibt, man habe strenge Richtlinien, die den Zugriff der Mitarbeitenden auf gespeicherte Videos einschränken. Es sei Angestelten nicht möglich, Livestreams anzusehen. "Wenn wir feststellen, dass ein Mitarbeiter gegen unsere Richtlinien verstösst, ergreifen wir angemessene und rasche Massnahmen, die bis zur Entlassung der betreffenden Person und zur Übergabe an die Strafverfolgungsbehörden reichen können", hiesst es von Ring.

Beschimpfungen von Hackern

Das war aber noch nicht alles: In der FTC-Beschwerde wird auch behauptet, Ring habe gewusst, dass seine Cloud-Dienste für Credential Stuffing und Brute-Force-Angriffe anfällig seien, habe aber wenig unternommen, um das Problem zu beheben. So seien die Konten von 55'000 Kunden in den USA kompromittiert worden, was bedeutet, dass "böswillige Akteure Zugang zu Hunderttausenden von Videos" hatten.
Angreifer hätten auch Zugang zu User-Konten gehabt. Da Ring-Geräte die Kommunikation in Echtzeit ermöglicht, hätten die Eindringlinge mit den Usern interagieren können. Frauen, die in ihrem Bett lagen, sowie mehrere Kinder seien von Hackern beschimpft worden, heisst es weiter.
Die FCC räume ein, so Ring in einem Blogbeitrag, dass das Unternehmen seinen Kunden seit die Möglichkeit biete, ihre Konten mittels Zwei-Faktor-Authentifizierung zu sichern.

Amazon "bestreitet, gegen das Gesetz verstossen zu haben"

Amazon sagt in einer Stellungnahme: "Obwohl wir die Behauptungen der FTC in Bezug auf Alexa und Ring nicht teilen und bestreiten, gegen das Gesetz verstossen zu haben, lassen wir diese Angelegenheiten mit diesen Vergleichen hinter uns." Das Unternehmen fügte an, dass es weiterhin weitere Datenschutzfunktionen im Namen der Kunden entwickeln werde.
Update (2. 6. 2023): Nach Publikation dieses Artikels verwies uns das Unternehmen auf einen Blogeintrag von Ring:
Entsprechend wurd der Artikel um die Informationen zur 2FA für Ring-Konten sowie die Richtlinien bez. Mitarbeiterzugriff ergänzt.
Zudem erklärt der Anbieter, dass man 2021 begonnen habe, Video-End-to-End-Verschlüsselung als Option für Kunden anzubieten. Ausserdem könnten Anwender über die Ring-App Nutzer verwalten, Geräte mit Zugriffsberechtigung auf ihr Konto bestimmen und Video-Speicherzeiten festlegen.

Loading

Mehr zum Thema

image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Luzerner Regierungsrat verteidigt M365-Einführung

Die Umstellung der Verwaltung auf Microsoft 365 hat zu einer Anfrage im Parlament geführt. Die Regierung äussert sich zu Datenschutz, Cloud und Alternativen.

publiziert am 1.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024
image

Microsoft hat bei "Recall" nachgebessert

Das Feature für KI-PCs wurde heftig kritisiert, weshalb Microsoft über die Bücher musste. Neu gibt es eine Verschlüsselung und die Möglichkeit zur vollständigen Entfernung.

publiziert am 30.9.2024