Ken je dat enge gevoel dat iemand al je bewegingen volgt? Als iemand in het geheim een ‘stalker-app’ of ‘stalkerware’, verkocht door Retina-X Studios, LLC, op uw mobiele apparaat heeft geïnstalleerd, kan de vreemde sensatie meer zijn dan alleen maar een gevoel. Klachten tegen ontwikkelaars en marketeers beweerde schendingen van de FTC Act en de Children’s Online Privacy Protection Act Rules.
Retina-X en James N. Jones, Jr., gevestigd in Florida, brengen drie apps op de markt als een manier om kinderen of werknemers te monitoren. MobileSpy legt de GPS-locatie, sms-berichten, foto’s, belgeschiedenis, browsergeschiedenis, enz. vast en registreert deze. Mensen die de premiumversie kopen, kunnen ook de schermen van nietsvermoedende gebruikers in realtime bekijken. PhoneSheriff bewaakt de meeste van dezelfde gegevens, plus e-mailgeschiedenis en schermafbeeldingen van activiteit met behulp van Snapchat. Als onderdeel van het iOS-registratieproces voor TeenShield verzamelt Retina-X de geboortedata van gecontroleerde gebruikers, van wie ongeveer een derde jonger is dan 13 jaar. Eenmaal geïnstalleerd, legt TeenShield de GPS-locatie, sms-berichten, belgeschiedenis, browsergeschiedenis, e-mail en dergelijke vast.
Om het product te installeren hebben kopers fysieke toegang tot het apparaat nodig en moeten ze het apparaat vaak jailbreaken of rooten. Met andere woorden, ze moeten de beperkingen omzeilen die bestaan in het besturingssysteem op het apparaat. Zodra de software beschikbaar is, kunnen kopers de gebruikersactiviteit op afstand volgen via een online dashboard. Standaard verschijnt er een pictogram op het apparaat. Retina-X instrueert de persoon die de software heeft geïnstalleerd echter hoe deze te verbergen en de applicatie in het geheim uit te voeren zonder medeweten van de gebruiker. Hoewel Retina-X in zijn privacybeleid beweert dat het product alleen is ontworpen om minderjarigen of oudere werknemers te monitoren, heeft het bedrijf geen stappen ondernomen om ervoor te zorgen dat hun applicaties op dezelfde manier worden gebruikt. Bovendien, waarom zouden ouders of bedrijven telefoons jailbreaken of rooten om Retina-X-software te installeren als andere monitoring-apps op de markt geen jailbreak of rooten vereisen?
Dat klacht beweren dat er sprake is van enige vorm van consumentenschade. Eén zorg is dat stalkers – bijvoorbeeld plegers van huiselijk geweld – deze apps zouden kunnen gebruiken om de locaties en online activiteiten van hun slachtoffers in de gaten te houden, informatie die ze zouden kunnen gebruiken om emotionele of zelfs fysieke schade aan te richten. Stalkers kunnen dit soort software ook gebruiken om beslag te leggen op de financiële rekeningen van een slachtoffer. Op zijn minst zullen mensen die Retina-X-apps installeren op apparaten van nietsvermoedende gebruikers waarschijnlijk de garantie van hun apparaat ongeldig maken en gebruikers blootstellen aan verhoogde veiligheidsrisico’s die vaak voorkomen wanneer een apparaat is gejailbreakt.
Bovendien beschuldigde de FTC Retina-X ervan geen basisstappen te hebben genomen om de gevoelige gegevens die zijn apps verzamelen te beschermen, met name informatie die is verzameld van kinderen die worden gecontroleerd. Het bedrijf heeft bijvoorbeeld geen schriftelijke beveiligingsnormen en voert geen beveiligingstests uit op bekende kwetsbaarheden. Bovendien wordt in de klacht beweerd dat Retina-X, ondanks het feit dat zijn producten in staat zijn andere producten te monitoren, geen passende stappen heeft ondernomen om toezicht te houden op zijn eigen dienstverleners – de bedrijven die de applicaties van Retina-X ontwikkelden, de servers beheerden, de betalingsverwerking afhandelden en marketing- en klantenondersteuningsdiensten verleenden.
Het privacybeleid van MobileSpy, PhoneSheriff en TeenShield bevat ook een geruststellende zin: “Het is het bedrijfsbeleid dat onze klantendatabase vertrouwelijk en privé blijft… Uw persoonlijke gegevens zijn veilig bij ons.” Maar niemand vertelde dit aan hackers die in 2017 niet-gecodeerde inloggegevens voor zakelijke cloudopslagaccounts vonden in de TeenShield Android Package Kit. Na het inloggen ontdekte de hacker de gebruikersnaam en het wachtwoord voor de Retina-X-server. Het was “Open Sesam!” hackers moeten toegang krijgen tot gevoelige gegevens die zijn verzameld via PhoneSheriff en TeenShield en deze vervolgens volledig verwijderen. Retina-X hoorde pas twee maanden later van de hack toen een journalist contact opnam met het bedrijf nadat hij bewijsmateriaal van de hacker had ontvangen.
Een jaar later ontdekte een hacker opnieuw de inloggegevens van het cloudopslagaccount van het bedrijf, dit keer in de PhoneSheriff Android Package Kit. De inloggegevens waren – in de terminologie van het bedrijf – ‘versluierd’, maar hackers konden ze nog steeds ontsleutelen. Deze keer heeft de hacker alle foto’s in het cloudopslagaccount verwijderd.
Dat klacht omvat één telling van oneerlijke handeling of praktijk en drie tellingen van fraude. Bovendien beschuldigde de FTC Retina-X ervan bewust persoonlijke informatie van kinderen onder de 13 jaar te verzamelen via TeenShield-producten, maar deze niet te respecteren. CUP-regelsde vereiste om redelijke procedures te handhaven om de vertrouwelijkheid, veiligheid en integriteit van dergelijke gegevens te beschermen.
Om deze zaak op te lossenRetina-X en James N. Johns, Jr. zijn overeengekomen om de gegevens die zij verzamelen te verwijderen en geen producten te verkopen waarvoor jailbreaken of rooten vereist is. Bovendien moeten zij in de toekomst een verklaring van de koper verkrijgen dat zij de applicatie alleen zullen gebruiken om toezicht te houden op hun kinderen of werknemers, of volwassenen die schriftelijke toestemming hebben gegeven. Ze moeten ook een pictogram bevatten met de naam van de app, dat alleen kan worden verwijderd door ouders die de app op de telefoon van hun kind hebben geïnstalleerd. In overeenstemming met andere recente overeenkomsten op het gebied van gegevensbeveiliging moeten zij elke twee jaar een beoordeling door een derde partij van hun informatiebeveiligingsprogramma laten uitvoeren.
Erg voorgestelde oplossing in het Federal Register verschijnt, accepteert de FTC gedurende 30 dagen openbare commentaren. Ondertussen volgen hier tips die andere bedrijven uit deze zaak kunnen halen.
- Wees voorzichtig als u monitoringproducten verkoopt. Neem redelijke stappen om ervoor te zorgen dat uw producten alleen voor legale doeleinden worden gebruikt. U kunt bijvoorbeeld geen afstand doen van het ingebouwde besturingssysteem of de beveiligingsvoorzieningen van het apparaat en vervolgens beweren dat u niet op de hoogte bent van de manier waarop uw product wordt gebruikt.
- Als je ze verzamelt, bescherm ze dan. Het verzamelen van welke vorm van gevoelige gegevens dan ook brengt de verplichting met zich mee om deze te beschermen zolang deze in uw bezit zijn. Als de informatie onder COPPA valt, Sectie 312.8 van de Verordeningen speciale gegevensbescherming implementeren.
- Neem maatregelen om derdegraads brandwonden te voorkomen. Wanneer u met externe dienstverleners werkt, leg dan uw verwachtingen op het gebied van gegevensbeveiliging uit in het contract en bouw controlemechanismen op om ervoor te zorgen dat deze worden nageleefd. Als er sprake is van informatie die onder de COPPA valt, Artikel 312.8 De COPPA-regelgeving schetst de vereiste: “(T)ak redelijke stappen om de persoonlijke informatie van kinderen alleen bekend te maken aan dienstverleners en derde partijen die in staat zijn de vertrouwelijkheid, veiligheid en integriteit van dergelijke informatie te waarborgen, en die de garantie bieden dat zij dergelijke informatie op een dergelijke manier zullen beschermen.”
