Ken je dat griezelige gevoel dat iemand al je bewegingen volgt? Als iemand in het geheim een ‘stalking-app’ of ‘stalkerware’, verkocht door Retina-X Studios, LLC, op uw mobiele apparaat installeert, kan die vreemde sensatie veel meer zijn dan een gevoel. Een klacht tegen de ontwikkelaar en marketeer beweert schendingen van de FTC Act en de Children’s Online Privacy Protection Act Rule.
Het in Florida gevestigde Retina-X en James N. Jones, Jr. brachten drie apps op de markt als manieren om kinderen of werknemers in de gaten te houden. MobileSpy legde de GPS-locatie, sms-berichten, foto’s, belgeschiedenis, browsergeschiedenis, enz. vast en registreerde deze. Mensen die de premiumversie kochten, konden ook het scherm van de nietsvermoedende gebruiker in realtime bekijken. PhoneSheriff controleerde veel van dezelfde gegevens, plus e-mailgeschiedenis en screenshots van activiteit met behulp van Snapchat. Als onderdeel van het iOS-registratieproces voor TeenShield verzamelde Retina-X de geboortedata van gebruikers die werden gemonitord, van wie ongeveer een derde jonger was dan 13 jaar. Eenmaal geïnstalleerd, legde TeenShield de GPS-locatie, sms-berichten, belgeschiedenis, browsergeschiedenis, e-mail en dergelijke vast.
Om de producten te installeren had de koper fysieke toegang tot het apparaat nodig en moest hij het apparaat vaak jailbreaken of rooten. Met andere woorden, ze moesten de beperkingen omzeilen die in het besturingssysteem op het apparaat waren ingebouwd. Zodra de software geïnstalleerd was, konden kopers de activiteiten van de gebruiker op afstand volgen via een online dashboard. Standaard verscheen er een pictogram op het apparaat. Retina-X instrueerde de persoon die de software installeerde echter hoe deze te verbergen en de app heimelijk te laten draaien zonder medeweten van de gebruiker. Hoewel Retina-X in zijn privacybeleid beweerde dat de producten alleen bedoeld waren om toezicht te houden op het minderjarige kind of de werknemer van een ouder, ondernam het bedrijf geen stappen om ervoor te zorgen dat hun apps ook op die manier werden gebruikt. En waarom zouden ouders of werkgevers telefoons jailbreaken of rooten om Retina-X-software te installeren, terwijl andere monitoring-apps op de markt geen jailbreak of rooting vereisten?
De klacht beweert dat er sprake is van verschillende vormen van consumentenschade. Een bijzondere zorg is dat stalkers – bijvoorbeeld plegers van huiselijk geweld – de apps zouden kunnen gebruiken om de locatie en online-activiteit van hun slachtoffers in de gaten te houden, informatie die ze zouden kunnen gebruiken om emotionele of zelfs fysieke schade toe te brengen. Stalkers zouden dit soort software ook kunnen gebruiken om de financiële rekeningen van slachtoffers te bemachtigen. Op zijn minst hebben mensen die de apps van Retina-X op de apparaten van nietsvermoedende gebruikers hebben geïnstalleerd, waarschijnlijk de garanties van hun apparaten ongeldig verklaard en de gebruikers blootgesteld aan verhoogde veiligheidsrisico’s die vaak voorkomen wanneer een apparaat is gejailbreakt.
Bovendien beweert de FTC dat Retina-X er niet in is geslaagd basismaatregelen te nemen om de gevoelige gegevens die zijn apps hebben verzameld te beschermen, met name informatie die is verzameld van kinderen die worden gecontroleerd. Het bedrijf beschikte bijvoorbeeld niet over schriftelijke beveiligingsnormen en voerde geen beveiligingstests uit voor bekende kwetsbaarheden. Bovendien beweert de klacht dat Retina-X, terwijl het de mogelijkheid van zijn producten om anderen te monitoren, aanprijst dat Retina-X geen passende stappen heeft ondernomen om zijn eigen serviceprovider te monitoren – het bedrijf dat de apps van Retina-X ontwikkelde, zijn servers beheerde, de betalingsverwerking afhandelde en marketing- en klantenondersteuningsdiensten verleende.
Het privacybeleid van MobileSpy, PhoneSheriff en TeenShield bevatte dezelfde rustgevende taal: “Het is het bedrijfsbeleid dat onze klantendatabases vertrouwelijk en privé blijven… Uw privégegevens zijn veilig bij ons.” Maar niemand vertelde dat aan de hacker die in 2017 niet-versleutelde inloggegevens voor het cloudopslagaccount van het bedrijf vond in de TeenShield Android Package Kit. Eenmaal ingelogd vond de hacker de gebruikersnaam en het wachtwoord voor de Retina-X-server. Dat was de “Open Sesam!” de hacker moest toegang krijgen tot gevoelige gegevens die waren verzameld via PhoneSheriff en TeenShield en deze vervolgens volledig wissen. Retina-X hoorde pas twee maanden later van de hack toen een journalist contact opnam met het bedrijf nadat hij bewijsmateriaal van de hacker had ontvangen.
Een jaar later vond een hacker opnieuw de inloggegevens voor het cloudopslagaccount van het bedrijf, dit keer in de PhoneSheriff Android Package Kit. De inloggegevens waren – om de terminologie van het bedrijf te gebruiken – ‘versluierd’, maar de hacker kon ze nog steeds ontsleutelen. Deze keer heeft de hacker alle foto’s in het cloudopslagaccount gewist.
De klacht omvat één telling van oneerlijke handelingen of praktijken en drie tellingen van bedrog. Bovendien beweert de FTC dat Retina-X willens en wetens persoonlijke gegevens van kinderen onder de 13 jaar heeft verzameld via het TeenShield-product, maar de regels niet heeft nageleefd. CUP-regel’s eis om redelijke procedures te handhaven om de vertrouwelijkheid, veiligheid en integriteit van die gegevens te beschermen.
Om de zaak af te handelenRetina-X en James N. Johns, Jr., zijn overeengekomen om de gegevens die zij hebben verzameld te verwijderen en geen enkel product te verkopen waarvoor jailbreaken of rooten vereist is. Bovendien zullen ze in de toekomst verklaringen van kopers moeten krijgen dat ze de app alleen zullen gebruiken om toezicht te houden op hun kind of een werknemer, of een volwassene die daar schriftelijk toestemming voor heeft gegeven. Ze moeten ook een pictogram met de naam van de app bevatten dat alleen kan worden verwijderd door ouders die de app op de telefoons van hun kinderen hebben geïnstalleerd. In overeenstemming met andere recente regelingen op het gebied van gegevensbeveiliging moeten ze elke twee jaar een beoordeling van hun informatiebeveiligingsprogramma door derden laten uitvoeren.
Zodra de voorgestelde schikking in het Federal Register verschijnt, accepteert de FTC gedurende 30 dagen openbare commentaren. In de tussentijd volgen hier tips die andere bedrijven uit de zaak kunnen halen.
- Wees extra voorzichtig als u monitoringproducten verkoopt. Neem redelijke stappen om ervoor te zorgen dat uw product alleen voor legale doeleinden wordt gebruikt. U kunt bijvoorbeeld niet eisen dat de ingebouwde beveiliging van het besturingssysteem of het apparaat wordt omzeild en vervolgens beweren dat u niet op de hoogte bent van de manier waarop uw product wordt gebruikt.
- Als je het verzamelt, bescherm het dan. Het verzamelen van welke vorm van gevoelige gegevens dan ook brengt de verplichting met zich mee om deze te beschermen wanneer deze in uw bezit is. Als het informatie betreft die onder de COPPA valt, Sectie 312.8 van de Regel voorziet in speciale gegevensbescherming.
- Neem maatregelen om een derdegraads brandwond te voorkomen. Wanneer u met externe dienstverleners werkt, vermeld dan in uw contracten uw verwachtingen op het gebied van gegevensbeveiliging en bouw controlemechanismen in om er zeker van te zijn dat ze worden nageleefd. Wanneer het COPPA-gedekte informatie betreft, Sectie 312.8 van de COPPA-regel onderstreept deze vereiste: “(T)neem redelijke stappen om de persoonlijke informatie van kinderen alleen vrij te geven aan dienstverleners en derde partijen die in staat zijn de vertrouwelijkheid, veiligheid en integriteit van dergelijke informatie te handhaven, en die de garantie bieden dat zij de informatie op een dergelijke manier zullen bewaren.”
