Ken je dat griezelige gevoel dat iemand al je bewegingen volgt? Als iemand in het geheim een ’stalking-app’ of ‘stalkerware’, verkocht door Retina-X Studios, LLC, op uw mobiele apparaat installeert, kan de vreemde sensatie veel meer zijn dan een gevoel. Een klacht over de ontwikkelaar en marketeer beweert schendingen van de FTC Act en de Children’s Online Privacy Protection Act Rule.
Het in Florida gevestigde Retina-X en James N. Jones, Jr. brachten drie apps op de markt als manieren om kinderen of werknemers in de gaten te houden. MobileSpy legde de GPS-locatie, sms-berichten, foto’s, belgeschiedenis, browsegeschiedenis, enz. vast en registreerde deze. Mensen die de premiumversie kochten, konden ook het scherm van de nietsvermoedende gebruiker in realtime bekijken. PhoneSheriff controleerde veel van dezelfde gegevens, plus e-mailgeschiedenis en screenshots van activiteit met behulp van Snapchat. Als onderdeel van het iOS-registratieproces voor TeenShield verzamelde Retina-X de geboortedata van de gebruikers die werden gemonitord – ongeveer een derde van hen was jonger dan 13 jaar. Na de installatie legde TeenShield de GPS-locatie, sms-berichten, belgeschiedenis, browsegeschiedenis, e-mail en dergelijke vast.
Om de producten te installeren had de koper fysieke toegang tot het apparaat nodig en moest hij het apparaat vaak jailbreaken of rooten. Met andere woorden, ze moesten de beperkingen omzeilen die in het besturingssysteem van het apparaat waren ingebouwd. Zodra de software geïnstalleerd was, konden kopers de activiteiten van de gebruiker op afstand volgen via een online dashboard. Standaard verscheen er een pictogram op het apparaat. Retina-X instrueerde de persoon die de software installeerde echter hoe deze te verbergen en de app in het geheim te laten werken zonder medeweten van de gebruiker. Hoewel Retina-X in zijn privacybeleid beweerde dat de producten alleen bedoeld waren om toezicht te houden op het minderjarige kind of de werknemer van een ouder, ondernam het bedrijf geen stappen om ervoor te zorgen dat zijn apps ook op deze manier werden gebruikt. En waarom zouden ouders of werkgevers telefoons jailbreaken of rooten om Retina-X-software te installeren, terwijl andere monitoring-apps op de markt geen jailbreak of rooting vereisten?
De klacht claimt verschillende soorten consumentenschade. Een bijzondere zorg is dat stalkers – bijvoorbeeld plegers van huiselijk geweld – apps zouden kunnen gebruiken om de locatie en online-activiteit van hun slachtoffers bij te houden, informatie die ze zouden kunnen gebruiken om emotionele of zelfs fysieke schade toe te brengen. Stalkers zouden dit soort software ook kunnen gebruiken om controle te krijgen over de financiële rekeningen van slachtoffers. Op zijn minst hebben mensen die de apps van Retina-X op apparaten van nietsvermoedende gebruikers hebben geïnstalleerd, waarschijnlijk de garanties van hun apparaten ongeldig verklaard en gebruikers blootgesteld aan verhoogde veiligheidsrisico’s die vaak voorkomen wanneer een apparaat is gejailbreakt.
Bovendien beweert de FTC dat Retina-X heeft nagelaten fundamentele stappen te ondernemen om de gevoelige gegevens die zijn apps hebben verzameld te beschermen, met name informatie die is verzameld van kinderen die worden gemonitord. Het bedrijf beschikte bijvoorbeeld niet over schriftelijke beveiligingsnormen en voerde geen beveiligingstests uit op bekende kwetsbaarheden. Bovendien wordt in de klacht beweerd dat Retina-X, terwijl het de mogelijkheid van zijn producten om anderen te monitoren benadrukt, geen adequate stappen heeft ondernomen om toezicht te houden op zijn eigen dienstverlener – het bedrijf dat de apps van Retina-X ontwikkelde, zijn servers beheerde, de betalingsverwerking afhandelde en marketing- en klantenondersteuningsdiensten verleende.
Het privacybeleid van MobileSpy, PhoneSheriff en TeenShield bevatte dezelfde geruststellende taal: “Het is het bedrijfsbeleid dat onze klantendatabases vertrouwelijk en privé blijven … Uw privégegevens zijn veilig bij ons.” Maar niemand vertelde dat aan de hacker die in 2017 niet-versleutelde inloggegevens voor het cloudopslagaccount van het bedrijf vond in de TeenShield Android Package Kit. Na het inloggen vond de hacker de gebruikersnaam en het wachtwoord voor de Retina-X-server. Het was “Open Sesam!” de hacker moest toegang krijgen tot gevoelige gegevens die waren verzameld via PhoneSheriff en TeenShield en deze vervolgens volledig verwijderen. Retina-X hoorde pas twee maanden later van de hack, toen een journalist contact opnam met het bedrijf nadat hij bewijsmateriaal van de hacker had ontvangen.
Een jaar later vond een hacker opnieuw de inloggegevens van het cloudopslagaccount van het bedrijf, dit keer in de PhoneSheriff Android Package Kit. De inloggegevens waren – om de terminologie van het bedrijf te gebruiken – ‘versluierd’, maar de hacker kon ze nog steeds ontsleutelen. Deze keer heeft de hacker alle foto’s op het cloudopslagaccount verwijderd.
De klacht omvat één telling van oneerlijke handelingen of praktijken en drie tellingen van fraude. Bovendien beweert de FTC dat Retina-X willens en wetens persoonlijke gegevens van kinderen onder de 13 jaar heeft verzameld via het TeenShield-product, maar deze niet heeft nageleefd. De CUP-regels vereiste om redelijke procedures te handhaven om de vertrouwelijkheid, veiligheid en integriteit van deze gegevens te beschermen.
Om de zaak af te handelenRetina-X en James N. Johns, Jr. zijn overeengekomen om de gegevens die zij hebben verzameld te verwijderen en geen enkel product te verkopen waarvoor jailbreaken of rooten vereist is. Daarnaast moeten zij in de toekomst verklaringen krijgen van kopers dat zij de app alleen zullen gebruiken om toezicht te houden op hun kind of een medewerker of volwassene die schriftelijk toestemming heeft gegeven. Ze moeten ook een pictogram bevatten met de naam van de app, die alleen kan worden verwijderd door ouders die deze op de telefoons van hun kinderen hebben geïnstalleerd. In overeenstemming met andere recente regelingen voor gegevensbeveiliging moeten zij elke twee jaar een beoordeling van hun informatiebeveiligingsprogramma door derden laten uitvoeren.
Wanneer voorgestelde schikking in het Federal Register verschijnt, accepteert de FTC gedurende 30 dagen openbare commentaren. In de tussentijd volgen hier tips die andere bedrijven uit de zaak kunnen halen.
- Wees extra voorzichtig als u bewakingsproducten verkoopt. Neem redelijke voorzorgsmaatregelen om ervoor te zorgen dat uw product alleen voor legale doeleinden wordt gebruikt. U kunt bijvoorbeeld niet beweren dat u de ingebouwde beveiliging van het besturingssysteem of apparaat omzeilt en vervolgens beweert dat u niet weet hoe uw product wordt gebruikt.
- Als je het verzamelt, bescherm het dan. Het verzamelen van welk type gevoelige gegevens dan ook brengt de verplichting met zich mee om deze te beschermen zolang u deze in uw bezit heeft. Als het informatie betreft die onder de COPPA valt, Sectie 312.8 van de regel introduceert speciale gegevensbescherming.
- Neem maatregelen om een derdegraads brandwond te voorkomen. Wanneer u met externe dienstverleners werkt, vermeld dan uw verwachtingen op het gebied van gegevensbeveiliging in uw contracten en bouw controlemechanismen in om ervoor te zorgen dat deze worden nageleefd. Wanneer het COPPA-gedekte informatie betreft, Sectie 312.8 van de COPPA-regel benadrukt deze vereiste: “(T)neem redelijke stappen om de persoonlijke informatie van kinderen alleen vrij te geven aan dienstverleners en derde partijen die in staat zijn de vertrouwelijkheid, veiligheid en integriteit van dergelijke informatie te handhaven en die de garantie bieden dat zij de informatie op een dergelijke manier zullen bewaren.”
