Ken je dat rare gevoel dat iemand al je bewegingen volgt? Als iemand heimelijk een ‘stalking-app’ of ‘stalkerware’, verkocht door Retina-X Studios, LLC, op uw mobiele apparaat installeert, kan die vreemde sensatie veel meer zijn dan een sensatie. Een klacht tegen de ontwikkelaar en de handelaar rapporteert schendingen van de FTC Act en de Children’s Online Privacy Protection Act.
Het in Florida gevestigde Retina-X en James N. Jones, Jr. hebben drie apps op de markt gebracht als manieren om kinderen of werknemers in de gaten te houden. MobileSpy heeft uw GPS-locatie, sms-berichten, foto’s, belgeschiedenis, browsergeschiedenis, enz. vastgelegd en vastgelegd. Mensen die de premiumversie hebben gekocht, kunnen het scherm van de nietsvermoedende gebruiker ook in realtime bekijken. PhoneSheriff hield veel van dezelfde gegevens bij, evenals de e-mailgeschiedenis en schermafbeeldingen van activiteiten met behulp van Snapchat. Als onderdeel van het iOS-registratieproces voor TeenShield verzamelde Retina-X de geboortedata van gevolgde gebruikers, van wie ongeveer een derde jonger was dan 13 jaar. Eenmaal geïnstalleerd, legde TeenShield de GPS-locatie, sms-berichten, belgeschiedenis, browsergeschiedenis, e-mails en dergelijke vast.
Om de producten te installeren had de koper fysieke toegang tot het apparaat nodig en moest hij het apparaat vaak jailbreaken of rooten. Met andere woorden, ze moesten de beperkingen omzeilen die in het besturingssysteem van het apparaat waren ingebouwd. Nadat de software was geïnstalleerd, konden kopers de gebruikersactiviteiten op afstand volgen via een online dashboard. Standaard verscheen er een pictogram op uw apparaat. Retina-X instrueerde de persoon die de software installeerde echter hoe hij deze moest verbergen en hoe hij de app in het geheim moest uitvoeren zonder medeweten van de gebruiker. Hoewel Retina-X in zijn privacybeleid stelt dat de producten alleen zijn ontworpen om toezicht te houden op het minderjarige kind of het gezinslid van een ouder, heeft het bedrijf geen stappen ondernomen om ervoor te zorgen dat hun apps ook op deze manier werden gebruikt. En waarom zouden ouders of werkgevers hun telefoons moeten jailbreaken of rooten om Retina-X-software te installeren, terwijl andere monitoring-apps op de markt geen jailbreak of rooten vereisen?
DE klacht hekelt verschillende vormen van vooroordelen jegens consumenten. Een bijzondere zorg is dat stalkers – zoals plegers van huiselijk geweld – de apps zouden kunnen gebruiken om de locatie en online-activiteit van hun slachtoffers in de gaten te houden, informatie die ze zouden kunnen gebruiken om emotionele of zelfs fysieke schade toe te brengen. Stalkers kunnen dit soort software ook gebruiken om de financiële rekeningen van slachtoffers te bemachtigen. Op zijn minst hebben mensen die Retina-X-apps op de apparaten van nietsvermoedende gebruikers hebben geïnstalleerd, waarschijnlijk de garanties van hun apparaten ongeldig verklaard en gebruikers blootgesteld aan verhoogde veiligheidsrisico’s die vaak voorkomen wanneer een apparaat is gejailbreakt.
Bovendien beweert de FTC dat Retina-X er niet in is geslaagd kritische stappen te ondernemen om gevoelige gegevens te beschermen die door zijn apps zijn verzameld, met name informatie die is verzameld van gevolgde kinderen. Het bedrijf beschikte bijvoorbeeld niet over schriftelijke beveiligingsnormen en voerde geen beveiligingstests uit op bekende kwetsbaarheden. Bovendien wordt in de klacht beweerd dat Retina-X er niet in is geslaagd adequate stappen te ondernemen om toezicht te houden op zijn dienstverlener, het bedrijf dat de Retina-X-apps ontwikkelde, zijn servers beheerde, de betalingsverwerking afhandelde en marketing- en klantenservicediensten verleende, terwijl het vermogen van zijn producten om anderen te volgen wordt aangeprezen.
Het privacybeleid van MobileSpy, PhoneSheriff en TeenShield bevatte dezelfde geruststellende taal: “Het is het bedrijfsbeleid dat onze klantendatabases vertrouwelijk en privé blijven… Uw privégegevens zijn veilig bij ons.” Maar niemand vertelde dat aan de hacker die in 2017 niet-gecodeerde inloggegevens voor het cloudopslagaccount van het bedrijf vond in de TeenShield Android Package Kit. Eenmaal ingelogd vond de hacker de gebruikersnaam en het wachtwoord voor de Retina-X-server. Dat was de “Sesamstraat!” de hacker moest toegang krijgen tot gevoelige gegevens die waren verzameld via PhoneSheriff en TeenShield en deze vervolgens volledig verwijderen. Retina-X hoorde pas twee maanden later van de hack, toen een journalist contact opnam met het bedrijf nadat hij bewijsmateriaal van de hacker had ontvangen.
Na een jaar vond een hacker opnieuw de inloggegevens voor het cloudopslagaccount van het bedrijf, dit keer in het PhoneSheriff Android-pakket. De inloggegevens waren, in de terminologie van het bedrijf, ‘versluierd’, maar de hacker slaagde er nog steeds in ze te ontsleutelen. Deze keer heeft de hacker alle foto’s in het cloudopslagaccount verwijderd.
DE klacht omvat één telling van oneerlijke handelingen of praktijken en drie tellingen van bedrog. Bovendien beweert de FTC dat Retina-X willens en wetens persoonlijke gegevens van kinderen onder de 13 jaar heeft verzameld via het TeenShield-product, maar niet heeft voldaan aan de CUP-regelDe noodzaak om redelijke procedures te handhaven om de vertrouwelijkheid, veiligheid en integriteit van dergelijke gegevens te beschermen.
Om de zaak op te lossenRetina-X en James N. Johns, Jr. zijn overeengekomen om de verzamelde gegevens te verwijderen en geen producten te verkopen waarvoor jailbreaken of rooten vereist is. Bovendien zullen zij in de toekomst verklaringen van kopers moeten verkrijgen dat zij de app alleen zullen gebruiken om toezicht te houden op hun kinderen of op een werknemer of volwassene die daar schriftelijk toestemming voor heeft gegeven. Ze moeten ook een pictogram met de naam van de app bevatten dat alleen kan worden verwijderd door ouders die de app op de telefoons van hun kinderen hebben geïnstalleerd. In lijn met andere recente overeenkomsten op het gebied van gegevensbeveiliging moeten zij elke twee jaar een beoordeling van hun informatiebeveiligingsprogramma door derden laten uitvoeren.
Eenmaal voorgestelde oplossing in het Federal Register verschijnt, accepteert de FTC gedurende 30 dagen openbare commentaren. In de tussentijd volgen hier enkele tips die andere bedrijven uit de zaak kunnen halen.
- Wees vooral voorzichtig als u trackingproducten verkoopt. Neem redelijke stappen om ervoor te zorgen dat uw product alleen voor legale doeleinden wordt gebruikt. U kunt bijvoorbeeld niet verzoeken om de ingebouwde beveiligingsmaatregelen van uw besturingssysteem of apparaat te omzeilen en vervolgens beweren dat u niet weet hoe het product wordt gebruikt.
- Als je het oppakt, bescherm het dan. Het verzamelen van welke vorm van gevoelige gegevens dan ook brengt de verplichting met zich mee om deze te beschermen zolang deze in uw bezit zijn. Als het informatie betreft die onder de COPPA valt, Sectie 312.8 van de Regel implementeert speciale gegevensbescherming.
- Neem maatregelen om derdegraads brandwonden te voorkomen. Wanneer u met externe dienstverleners werkt, specificeer dan uw verwachtingen op het gebied van gegevensbeveiliging in uw contracten en creëer controlemechanismen om ervoor te zorgen dat hieraan wordt voldaan. Als er sprake is van informatie die onder de COPPA valt, Sectie 312.8 van de COPPA-regel benadrukt deze vereiste: “Neem redelijke maatregelen om de persoonlijke informatie van kinderen alleen bekend te maken aan dienstverleners en derde partijen die in staat zijn de vertrouwelijkheid, veiligheid en integriteit van dergelijke informatie te handhaven en die de garantie bieden dat zij de informatie op deze manier zullen behouden.”
