Tahukah Anda perasaan aneh bahwa seseorang mengikuti setiap gerakan Anda? Jika seseorang diam-diam memasang “aplikasi penguntit” atau “perangkat lunak penguntit” yang dijual oleh Retina-X Studios, LLC di perangkat seluler Anda, sensasi aneh ini mungkin lebih dari sekadar perasaan. Keluhan terhadap pengembang dan pemasar Dugaan pelanggaran terhadap Undang-Undang FTC dan Undang-Undang Perlindungan Privasi Online Anak-anak.

Retina-X yang berbasis di Florida dan James N. Jones Jr. telah memasarkan tiga aplikasi sebagai cara untuk memantau anak-anak atau karyawan. MobileSpy menangkap dan mencatat lokasi GPS, pesan teks, foto, riwayat panggilan, riwayat browser, dll. Orang yang telah membeli versi premium juga dapat melihat layar pengguna yang tidak menaruh curiga secara real time. PhoneSheriff memantau sebagian besar data yang sama, serta riwayat email dan tangkapan layar aktivitas menggunakan Snapchat. Sebagai bagian dari proses registrasi iOS TeenShield, Retina-X mengumpulkan tanggal lahir pengguna yang dipantau — sekitar sepertiga di antaranya berusia di bawah 13 tahun. Setelah terinstal, TeenShield menangkap lokasi GPS, pesan teks, riwayat panggilan, riwayat browser, email, dan sejenisnya.

Untuk menginstal produk, pembeli memerlukan akses fisik ke perangkat, dan seringkali harus melakukan jailbreak atau rooting. Dengan kata lain, mereka harus melewati batasan yang ada pada sistem operasi pada perangkat tersebut. Setelah perangkat lunak tersedia, pembeli dapat memantau aktivitas pengguna dari jarak jauh dari panel kontrol online. Secara default, sebuah ikon muncul di perangkat. Namun, Retina-X telah menginstruksikan orang yang menginstal perangkat lunak tersebut tentang cara menyembunyikannya dan menjalankan aplikasi secara diam-diam tanpa sepengetahuan pengguna. Meskipun Retina-X mengklaim dalam kebijakan privasinya bahwa produk tersebut dirancang untuk digunakan hanya untuk memantau anak orang tua atau karyawan di bawah umur, perusahaan tersebut belum mengambil langkah apa pun untuk mengonfirmasi bagaimana aplikasinya digunakan. Terlebih lagi, mengapa orang tua atau perusahaan melakukan jailbreak atau root pada ponsel untuk menginstal Retina-X ketika aplikasi pemantauan lain di pasaran tidak memerlukan jailbreaking atau rooting?

itu keluhan Ini mempertahankan beberapa bentuk kerugian konsumen. Salah satu kekhawatirannya adalah bahwa penguntit – misalnya, pelaku kekerasan dalam rumah tangga – dapat menggunakan aplikasi untuk memantau lokasi dan aktivitas online korbannya, informasi yang dapat mereka gunakan untuk menimbulkan kerugian emosional atau bahkan fisik. Penguntit juga dapat menggunakan program seperti ini untuk mengambil alih rekening keuangan korban. Paling tidak, orang yang menginstal aplikasi Retina-X pada perangkat pengguna yang tidak menaruh curiga kemungkinan besar akan membatalkan garansi perangkat mereka dan membuat pengguna terkena peningkatan risiko keamanan yang umum terjadi saat perangkat di-jailbreak.

Lebih lanjut, FTC menuduh Retina-X gagal mengambil langkah dasar untuk melindungi data sensitif yang dikumpulkan oleh aplikasinya, terutama informasi yang dikumpulkan dari anak-anak yang dipantau. Misalnya, perusahaan tidak memiliki standar keamanan tertulis dan tidak melakukan pengujian keamanan untuk kerentanan yang diketahui. Selain itu, meskipun menggembar-gemborkan kemampuan produknya untuk memantau orang lain, pengaduan tersebut menuduh bahwa Retina-X tidak mengambil langkah yang tepat untuk memantau penyedia layanannya — perusahaan yang mengembangkan aplikasi Retina-X, mengelola servernya, dan menangani pemrosesan pembayaran. , dan menyediakan layanan pemasaran dan dukungan pelanggan.

Kebijakan privasi MobileSpy, PhoneSheriff, dan TeenShield juga menggunakan bahasa yang tenang: “Adalah kebijakan perusahaan bahwa basis data pelanggan kami tetap rahasia dan pribadi… Informasi pribadi Anda aman bersama kami.” Namun tidak ada yang memberitahukan hal ini kepada peretas yang pada tahun 2017 menemukan kredensial tidak terenkripsi untuk akun penyimpanan cloud perusahaan di Paket Kit Android TeenShield. Setelah login, peretas menemukan nama pengguna dan kata sandi untuk server Retina-X. Itu adalah “Buka Wijen!” Peretas perlu mengakses data sensitif yang dikumpulkan melalui PhoneSheriff dan TeenShield dan kemudian menghapusnya sepenuhnya. Retina-X tidak mengetahui peretasan tersebut sampai dua bulan kemudian ketika seorang jurnalis menghubungi perusahaan tersebut setelah menerima petunjuk dari peretas.

Setahun kemudian, seorang peretas sekali lagi menemukan kredensial akun penyimpanan cloud perusahaan, kali ini di Kit Paket Android PhoneSheriff. Kredensialnya, menggunakan terminologi perusahaan, “dikaburkan”, namun peretas masih dapat mendekripsinya. Kali ini peretas menghapus semua foto di akun penyimpanan cloud.

itu keluhan Ini mencakup satu dakwaan tindakan atau praktik tidak adil dan tiga dakwaan penipuan. Selain itu, FTC menuduh Retina-X dengan sengaja mengumpulkan informasi pribadi dari anak-anak di bawah 13 tahun melalui produk TeenShield, namun gagal mematuhi Basis cangkirPersyaratan untuk menjalankan prosedur yang wajar untuk melindungi kerahasiaan, keamanan, dan integritas data tersebut.

Untuk menyelesaikan kasus iniRetina-X dan James N. Johns Jr. telah setuju. Untuk menghapus data yang mereka kumpulkan dan tidak menjual produk apa pun yang memerlukan jailbreaking atau rooting. Selain itu, di masa depan mereka harus mendapatkan pernyataan dari pembeli bahwa mereka hanya akan menggunakan aplikasi tersebut untuk memantau anak mereka, karyawan mereka atau orang dewasa yang telah menyetujui secara tertulis. Mereka juga harus menyertakan ikon pada nama aplikasi yang hanya dapat dihapus oleh orang tua yang telah menginstalnya di ponsel anak mereka. Sejalan dengan kompromi keamanan data baru-baru ini, mereka harus mendapatkan penilaian pihak ketiga terhadap program keamanan informasi mereka setiap dua tahun.

Sekali Penyelesaian yang diusulkan Dalam Daftar Federal, FTC akan menerima komentar publik selama 30 hari. Sementara itu, berikut beberapa tips yang dapat digunakan perusahaan lain dalam kasus ini.

  • Berhati-hatilah jika Anda menjual produk pengawasan. Ambil langkah-langkah yang wajar untuk memastikan bahwa produk Anda hanya digunakan untuk tujuan yang sah. Misalnya, Anda tidak dapat meminta untuk menghindari sistem operasi tertanam atau perlindungan keamanan perangkat dan kemudian mengklaim ketidaktahuan tentang bagaimana produk Anda akan digunakan.
  • Jika Anda mengumpulkannya, simpanlah. Mengumpulkan segala bentuk data sensitif disertai dengan kewajiban untuk melindunginya saat data tersebut berada dalam kepemilikan Anda. Jika informasi tersebut tercakup dalam COPPA, Pasal 312.8 peraturan Menetapkan perlindungan data khusus.
  • Ambil langkah-langkah untuk menghindari luka bakar tingkat tiga. Saat bekerja dengan penyedia layanan pihak ketiga, jelaskan ekspektasi keamanan data Anda dalam kontrak Anda dan bangun mekanisme pemantauan untuk memastikan ekspektasi tersebut dipatuhi. Mengenai informasi yang tercakup dalam COPPA, Pasal 312.8 Peraturan COPPA menekankan persyaratan ini: “(T)mengambil langkah-langkah yang wajar untuk mengungkapkan informasi pribadi anak-anak hanya kepada penyedia layanan dan pihak ketiga yang mampu menjaga kerahasiaan, keamanan, dan integritas informasi tersebut, dan yang memberikan jaminan bahwa mereka akan menjaga kerahasiaan, keamanan, dan integritas informasi tersebut. informasi dengan cara ini.”