Федеральная торговая комиссия США (FTC) обязала компанию Verkada, производящую камеры видеонаблюдения, разработать и внедрить комплексную программу информационной безопасности. Решение было принято после того, как выяснилось, что компания не обеспечила должные меры защиты, что привело к утечке данных и хакерскому доступу к камерам клиентов.
В рамках предложенного соглашения , которое еще должно получить одобрение федерального судьи, Verkada также должна выплатить штраф в размере 2,95 миллиона долларов США за нарушение CAN-SPAM акта. Эта сумма является крупнейшим штрафом, который FTC когда-либо назначала за несоблюдение данного закона.
Согласно жалобе, поданной Министерством юстиции США по уведомлению FTC, Verkada не обеспечила надлежащую защиту личной информации потребителей. В результате хакер получил доступ к камерам видеонаблюдения, подключенным к интернету, и смог просматривать записи пациентов психиатрических больниц и женских клиник.
Директор Бюро защиты прав потребителей FTC, Сэмюэл Левин, отметил: “Когда клиенты доверяют компаниям мониторинг личных пространств через их камеры наблюдения и другие продукты, они ожидают, что будут обеспечены базовые уровни безопасности, чего Verkada не сделала. Компании, которые не защищают данные потребителей, должны быть готовы нести ответственность”.
Verkada продает IP-камеры видеонаблюдения и другие решения физической безопасности тысячам клиентов в США и за рубежом. В своей политике конфиденциальности компания заявляла, что серьезно относится к безопасности данных и конфиденциальности клиентов, используя “лучшие в своем классе инструменты и методы защиты данных”.
Однако, по данным FTC, компания не обеспечила надлежащие меры безопасности для защиты личной информации, включая видеозаписи с камер безопасности, а также данные учетных записей клиентов. Например, Verkada не требовала уникальных и сложных паролей, не шифровала должным образом данные клиентов и не внедрила безопасные сетевые средства управления.
В результате этих недостатков безопасности компания столкнулась как минимум с двумя взломами в период с декабря 2020 по март 2021 года. Во время мартовского взлома 2021 года хакер получил доступ к видеозаписям с более чем 150 000 камер Verkada, а также к другой информации о клиентах.
Кроме того, компанию обвиняют в нарушении закона CAN-SPAM несколькими способами. Согласно жалобе, Verkada активно использовала кампании коммерческих электронных рассылок для продвижения своих продуктов, отправив более 30 миллионов коммерческих писем за трехлетний период. Коммерческие электронные письма Verkada нарушали закон CAN-SPAM четырьмя способами, включая игнорирование запросов получателей на отписку от рассылки.
Помимо штрафа, предлагаемое постановление суда запретит компании делать ложные заявления о практиках конфиденциальности и безопасности данных Verkada. Компания также должна будет внедрить комплексную программу информационной безопасности с проведением аудитов третьими сторонами.