Un employé d'une société de vidéosurveillance a admis avoir secrètement espionné plus de 200 clientes, plus de 9 600 fois en plus de quatre ans, pour les regarder pendant qu'elles se déshabillaient, dormaient ou avaient des relations sexuelles, rapporte BuzzFeed.
L'employé ajoutait son email aux comptes des femmes qu'il trouvait particulièrement attirantes, au motif d'effectuer des vérifications de sécurité, afin de pouvoir accéder à leurs systèmes de vidéosurveillance à domicile.
De façon somme toute étonnante de la part d'une entreprise de sécurité, la faille n'a pas été découverte par l'entreprise, mais « par chance et par hasard ». Un client, signalant un problème technique, a finalement révélé par inadvertance l'accès tiers indésirable.
Son employeur, ADT, a par la suite découvert qu'il avait de même rajouté son adresse mail à 219 autres comptes, avant de révoquer son compte et de le licencier, le dénoncer au FBI, alerter les espionnés et rendre public l'« incident de sécurité ».
L'entreprise a par la suite engagé un audit de sécurité, ajouté une fonctionnalité alertant les clients du rajout de tout nouvel utilisateur ou adresse email, une autre leur rappelant tous les trimestres la liste des utilisateurs autorisés à accéder à la vidéosurveillance de leurs domiciles, et mis en place un système automatisé de détection des comportements suspects.
Selon BuzzFeed, des clients se seraient vu offrir de l'argent par ADT, 2 500 $ dans un premier temps, puis 50 000 après un premier refus, en échange d'un accord de confidentialité, afin de ne pas rendre public l'« incident de sécurité ».
L'employé risque jusqu'à 5 ans d'emprisonnement. Et il lui est interdit de travailler pour une entreprise lui permettant d'accéder à des systèmes de vidéosurveillance.
