L'application Ring partage vos données personnelles avec Facebook et d'autres personnes, selon un rapport

Ring, le fabricant d'Amazon.com Inc. de sonnettes de haute technologie et de caméras de sécurité à domicile, se présente comme une protection contre le monde extérieur aux maisons des utilisateurs. Mais son application collecte des données sur les téléphones des utilisateurs et partage ces informations avec plusieurs trackers tiers, a révélé un rapport de l'Electronic Frontier Foundation cette semaine.

Les informations comprennent les noms complets des utilisateurs, les adresses e-mail, les adresses IP, les opérateurs de réseau mobile et les données sur les capteurs installés dans le téléphone, selon le groupe des libertés civiles, dont le travail se concentre sur la confidentialité et les autres droits numériques.

L'EFF a déclaré avoir analysé le trafic Web sur l'application Ring pour les appareils Android et a constaté que la société distribuait des données clients principalement à quatre sociétés d'analyse et de marketing: Facebook, Branch, AppsFlyer et Mixpanel. Crashlytics, propriété de Google, reçoit également des données de Ring, selon le rapport.

"Les clients devraient vraiment regarder attentivement et voir: 'Est-ce quelque chose en quoi j'ai confiance? Ce dispositif de surveillance qui peut être utilisé pour surveiller mes voisins me surveille actuellement' ', a déclaré William Budington, ingénieur en sécurité et technologue à l'EFF.

Ring a déclaré dans un communiqué qu'il autorise les tiers à utiliser les données uniquement à des "fins appropriées".

La politique de confidentialité de Ring note que la société utilise des services d'analyse tiers et participe à des "réseaux publicitaires" qui lui permettent de cibler la messagerie en collectant des informations "par des moyens automatisés, y compris en utilisant des cookies, des journaux de serveur Web, des balises Web et autres similaires. les technologies."

Mais une seule des sociétés tierces identifiées par l'EFF, Mixpanel, est nommée dans la liste des services d'analyse tiers de Ring.

AppsFlyer, une société d'analyse marketing mobile, collecte des informations sur les actions des utilisateurs dans l'application Ring et sur les paramètres d'étalonnage et les capteurs installés sur l'appareil.

"Le simple fait d'avoir des informations sur les capteurs de votre téléphone est assez détaillé", a déclaré Budington de l'EFF. "C'est préoccupant en raison du niveau de détail et de la compréhension des caractéristiques de votre appareil. Une entreprise de suivi peut assembler et créer une empreinte digitale de votre appareil – un ensemble cohérent sur l'apparence de votre appareil."

Il ne faut pas beaucoup d'empreintes digitales pour un appareil, a déclaré Eric Goldman, professeur à la faculté de droit de l'université de Santa Clara, qui codirige le High Tech Law Institute de l'école.

"Par exemple, si vous pouvez voir toutes les applications sur l'appareil d'une personne, cela seul pourrait être unique à tous les autres dans l'univers", a déclaré Goldman. "Nous avons probablement tous configuré nos applications différemment."

Le fait de rassembler certaines des données fournies par Ring pourrait montrer, hypothétiquement, que vous avez ouvert un jeu ou que vous avez rejoint un point d'accès Wi-Fi dans votre maison, a déclaré Budington. Plus vous collectez d'informations, mieux une entreprise peut dresser un tableau de ce que vous faites dans votre vie numérique.

"Comme de nombreuses entreprises, Ring utilise des fournisseurs de services tiers pour évaluer l'utilisation de notre application mobile, ce qui nous aide à améliorer les fonctionnalités, à optimiser l'expérience client et à évaluer l'efficacité de notre marketing", a déclaré un porte-parole de Ring dans un communiqué. "Ring garantit que l'utilisation par les fournisseurs de services des données fournies est contractuellement limitée à des fins appropriées telles que la prestation de ces services en notre nom et non à d'autres fins."

Ring a déclaré qu'il utilise MixPanel pour cibler la messagerie au sein de l'application lors du lancement de nouvelles fonctionnalités. Généralement, la société peut collecter et divulguer des informations personnelles – par exemple lorsque les utilisateurs interagissent avec l'application ou leurs appareils Ring – à des services tiers afin de suivre les performances de diverses fonctionnalités, a déclaré la société.

Budington a noté que Ring ne violait pas nécessairement sa propre politique de confidentialité. Mais il a déclaré que la politique de confidentialité de Ring était trop large et vague et il est inquiétant que même la liste des services tiers de la société ne soit pas exacte.

Goldman a expliqué qu'il n'était pas clair pourquoi Branch ou Facebook auraient besoin d'informations de Ring pour aider à l'analyse ou au ciblage des publicités.

Le porte-parole de la succursale, Alex Austin, a déclaré que la société fournit un service qui corrige les liens mobiles qui mènent les utilisateurs à la bonne page. "Pour exécuter ce service pour Ring et bien d'autres, nous devons traiter certaines données à partir de l'application, mais faire très attention lors de leur manipulation", a déclaré Austin dans un e-mail. Conformément à la politique de l'entreprise en matière de données utilisateur, Branch collecte des données sur les appareils comme les identifiants publicitaires, l'adresse IP et les cookies, mais ne collecte ni ne stocke des informations telles que les noms, les e-mails ou les adresses physiques.

Les autres sociétés citées dans le rapport de l'EFF n'ont pas immédiatement répondu aux demandes de commentaires.

Le nouveau California Consumer Privacy Act, que l'État commencera à appliquer en juillet, pourrait aider à réglementer ce type d'activité par Ring, a déclaré Goldman. Selon la façon dont le bureau du procureur général de l'État interprète la loi, cela pourrait forcer l'entreprise à divulguer davantage d'informations sur les tiers qui utilisent ses données.

La loi de l'Etat "va changer l'écosystème. Je ne sais pas combien, mais il est clair que des changements arrivent", a déclaré Goldman.

Amazon a acquis Ring en 2018, et la société de caméras de sonnette a fait l'objet d'un examen et de critiques considérables ces derniers mois pour des problèmes de confidentialité liés à ses accords avec les forces de l'ordre et aux piratages et violations qui ont compromis les flux vidéo des propriétaires de Ring.

Le mois dernier, un pirate informatique a accédé à une caméra Ring dans la chambre d'une fille de 8 ans au Mississippi et l'a utilisée pour la harceler. Un couple au Texas s'est réveillé avec un pirate informatique disant via sa caméra Ring qu'ils "seraient licenciés" à moins de payer une rançon de 50 bitcoins. Ring a précédemment déclaré que ces incidents n'étaient "en aucun cas liés à une violation ou à un compromis de la sécurité de Ring" et a noté que des acteurs malveillants peuvent obtenir des informations d'identification de compte (en particulier lorsque des personnes réutilisent des noms d'utilisateur et des mots de passe) à partir de services externes non-Ring.

Un rapport de la carte mère le mois dernier a détaillé certaines pratiques de sécurité laxistes de Ring, telles que permettre plusieurs connexions à partir de divers emplacements et adresses IP sans en informer les propriétaires, ce qui permet aux pirates informatiques de retourner facilement les caméras de l'entreprise contre ses clients.

Le sénateur Edward J. Markey (D-Mass.) A sévèrement critiqué la société en novembre pour avoir conclu des accords avec les forces de l'ordre qui pourraient exposer les clients et leurs voisins à des "pratiques invasives ou même discriminatoires de collecte d'informations" par la police. Le haut responsable du matériel informatique d'Amazon a déclaré qu'il était fier du programme et que les partenariats avec les services de police étaient bons pour les quartiers.

À la mi-décembre, les informations d'identification de plus de 3 600 titulaires de compte Ring auraient été violées. La société affirme que ces violations n'étaient pas le résultat de failles dans son propre système. Les incidents et d'autres ont alimenté des poursuites, notamment un recours collectif déposé en décembre devant un tribunal fédéral de Los Angeles.

Ring a déclaré aux législateurs au début de janvier qu'il avait licencié des travailleurs ces dernières années pour avoir mal accédé aux données vidéo des utilisateurs. Selon le Verge, la société a déclaré qu'elle ajouterait un nouveau tableau de bord de confidentialité à ses applications mobiles qui permettra aux utilisateurs de gérer leurs appareils connectés, les services tiers et les demandes de la police pour accéder à la vidéo depuis leurs appareils.

Au moins un employé d'Amazon a déclaré que la société devrait fermer complètement Ring, arguant que les problèmes de confidentialité ne sont "pas compatibles avec une société libre".

"Les problèmes de confidentialité ne peuvent pas être résolus par la réglementation et il n'y a pas d'équilibre qui puisse être trouvé", a écrit l'ingénieur en développement logiciel Max Eliaser. "Ring devrait être fermé immédiatement et non ramené." Son commentaire faisait partie d'une série de critiques des employés d'Amazon, publiées dimanche au mépris des règles de l'entreprise restreignant le moment où les travailleurs peuvent s'exprimer.

© 2020 Los Angeles Times

Distribué par Tribune Content Agency, LLC.