В киевском офисе Ring использовали незашифрованные данные с камер клиентов — The Information

Издание The Information опубликовало расследование о проблемах с безопасностью данных в украинском R&D-центре компании Ring. По информации журналистов, разработчики киевского офиса получали незашифрованные видеоданные с дверных звонков американских клиентов Ring и все еще могут получать к ним доступ.
Vector приводит адаптированный перевод материала. Пресс-служба украинского офиса Ring отказалась комментировать приведенную ниже информацию, редакция Vector отправила несколько запросов в американский офис Ring, но не получила ответ ни на один из них.

Что такое Ring и чем занимается украинский офис компании

Джейми Симинофф создал Ring в 2011 году, стартап занимался разработкой IoT-решений для охраны жилья. В 2013 году компания представила свой основной продукт — умный звонок с камерой, сейчас в линейке продуктов Ring несколько звонков и камер. В 2018 году компанию за $1 млрд купила Amazon.
В 2016 году в Киеве открыли R&D-офис компании, который сконцентрировался на разработках в сфере машинного обучения, компьютерного зрения и обработке видео из облаков Ring.
После запуска украинского офиса в комментарии для AIN.UA представители Ring отмечали технический талант украинских специалистов и заявляли, что верят вы их высокий уровень квалификации.

О чем пишут в The Information

Киевский офис Ring открыли, чтобы развивать функции с использованием искусственного интеллекта и машинного обучения. Компания быстро росла и планировала превзойти конкурентов именно благодаря функции распознавания людей и лиц, чтобы обезопасить клиентов от посторонних посетителей.
За 6 месяцев до первой поездки в Киев Джейми Симинофф начал собирать инженеров для нового офиса. Тогда, летом 2016 года, к звонкам Ring были подключены более 500 000 смартфонов.
Собрать команду таких специалистов в Сан-Франциско — дорогое удовольствие. В то время Ring тратил от $10 до $12 млн каждый месяц. Чтобы расти быстрее, Симинофф решил открыть офис в Украине. Сейчас там работает более 500 человек.
В декабре 2016 года Симинофф прилетел в Киев на встречу с 30 сотрудниками украинского офиса. На вопрос, как он может облегчить их работу, основатель компании в ответ получил просьбу предоставить доступ к видео с охранных камер клиентов Ring. Эту информацию можно было отследить для каждого конкретного клиента.

По информации, полученной The Information от людей, присутствующих на той встрече, Симинофф прямо на месте согласился дать доступ к этим данным.

В команде украинского офиса был Джейсон Митура, которого Симинофф привез в Киев, чтобы помочь собрать команду. Митура переживал о том, что компетенции украинских разработчиков недостаточно, чтобы предоставлять им доступ к персональным видеоданным клиентов.
Но Симинофф хотел показать инвесторам и потенциальным покупателям AI-возможности своего продукта. Именно для разработок в сфере распознавания изображения и нужны были данные с камер клиентов Ring.
Сотрудников набирал программист Денис Попов. Меньше чем за четыре месяца он провел больше 300 интервью и нанял 78 человек. Команду Ring Ukraine Попов охарактеризовал как “молодую и амбициозную”, она работала автономно от главного офиса Ring. Вместе с тем он отметил, что у многих первых сотрудников офиса не было опыта для создания успешного продукта.
Все это происходило за год до того, как компания Amazon купила Ring за $853 млн.
В комментарии для The Information Симинофф сказал, что не помнит встречи в 2016 году, а предоставление доступа к видео он поручил топ-менеджменту компании. На вопрос о том, не считает ли он, что данные клиентов были в опасности в Украине Симинофф ответил: “Я думаю, люди везде одинаковые”.
Он добавил, что украинский офис — одно из его начинаний, которым он очень гордится, а ключевые принципы Ring — конфиденциальность, безопасность и согласие на обработку персональных данных.

Как выглядит работа в Ring Ukraine сегодня

Редакция The Information поговорила с 24 нынешними и бывшими сотрудниками киевского офиса Ring. Кроме этого, редакция заявила, что просмотрела серию внутренних документов компании, инструкций, презентаций и сообщений инвесторам.
По словам опрошенных сотрудников, в течение нескольких месяцев с момента открытия киевского офиса видеоданные передавали туда незашифрованными. Редакция The Information также связывает риск передачи данных с тем, что Украина стала полигоном для кибератак.
В комментарии для The Information представитель Ring сказала, что сегодня все данные зашифрованы, но не ответила, когда именно их начали шифровать. Также она уточнила, что для тренировки искусственного интеллекта использовались только видео клиентов, которые делились ими для функции наблюдения за окрестностями. Кроме этого, компания использовала видео людей, которые дали на это письменное согласие.

Бывшие сотрудники утверждают, что так происходило не всегда. Когда киевский офис только открылся, разработчики свободно использовали видео клиентов. Когда это изменилось — неизвестно.

С момента покупки компанией Amazon, Ring усилил меры безопасности. Украинские разработчики больше не могут скачивать и хранить видео на своих компьютерах.

Что будет дальше

После того, как киевский офис в мае посетили представители Amazon, для получения доступа к видеоданным понадобился специальный ключ, который работает только в самом офисе.
Но сотрудники нашли способ обойти ограничение. Бывший разработчик киевского офиса сообщил редакции The Information, что для каждого получения доступа нужно было отправлять отдельный запрос в главный офис Ring. Сотрудникам в украинском офисе это не понравилось, поэтому они нашли способ получать доступ к видео из любой точки и любого компьютера.
Ни Amazon, ни Ring не ответили на вопросы редакции The Information о том, кто и как может получать доступ к видео сейчас.
На запрос редакции Vector представители украинского офиса Ring сообщили, что обращаться нужно в главный офис компании в США. Мы отправили несколько писем в пресс-службу компании, но в течение недели не получили ответ ни на одно из них.