寝室も、浴室も覗き放題だった
FTCの訴状に書かれた「覗き見」の事例を見てみよう。
あるRingの男性従業員は、少なくとも81人の女性ユーザーの、数千本のビデオ録画を視聴した。「主寝室」「主浴室」「盗撮カメラ」など、プライバシー性が高いとおぼしき名前の付いたカメラに対象を絞って検索。2017年6月から3カ月にわたって繰り返し視聴した。1日に1時間以上行われることもめずらしくなかった。
別の従業員がこれに気づき上司に報告したところ、上司は「エンジニアとして、このように多くのアカウントを視聴するのは『普通』のことである」と意に介さなかった。しかし、のちに問題の従業員が「かわいい女の子」の動画ばかりを視聴していることを上司が認識したことで問題化。従業員はその後、解雇された。
視聴していたのは、この男性従業員だけではなかった。訴状では「危険なほど広範なアクセスとプライバシーに対する緩い態度の結果、従業員のほか、委託先企業の従業員も映像を閲覧・ダウンロード・転送することができた」と指摘している。
Ring社は、男性従業員による問題発覚後、カスタマーサービス担当者が利用者の同意を得てアクセスできるよう運用を改めた。しかし、「数百人の従業員とウクライナにある委託先業者の従業員」は自由に視聴できる状態のままだったという。
メールアドレスを知っていれば特定可能
FTCは、従業員同士でこの杜撰なセキュリティが悪用されていたと主張する。
2018年1月には、男性従業員が同僚女性のメールアドレスをもとに、女性の自宅カメラのアカウントを特定。保存されている録画を本人の許可なく視聴していた。
FTCは訴状で「従業員に与えられたセキュリティ教育は皆無であり、そのような(同僚の行為を)報告する義務を負わされていなかったことを考慮すれば、従業員が報告を行ったことは単なる幸運であった」としている。そのため、「覗き行為やわいせつな行動、その他不適切な視聴などがほかにも多数発生し、発覚しないままになっているおそれは大きい」と述べ、事態はさらに深刻であると指摘している。
実際のところ、興味本位での覗き行為はほかにも発生しており、従業員同士でプライバシーを侵害し合うこともあったようだ。米ニュースメディアのインターセプトは、Ring社の内情に詳しい情報提供者の話として、同社のエンジニアたちがデートの後に「どんな人を家に連れ帰ったかを互いにからかい合っていた」と報じている。