Так изображен глава Amazon Джефф Безос в сатирическом мультсериале South Park.
Корпорация Amazon случайно отправила пользователю 1700 чужих голосовых записей, сделанных голосовым помощником Alexa. Об этом пишет немецкий журнал Heise.
Как сообщается, житель Германии, имя которого журналисты не раскрывают, попросил Amazon отправить все данные, которые о нем хранит компания, в рамках закона GDPR. В ответ компания, среди прочего, прислала ему голосовые сообщения, записанные Alexa — однако у пользователя не было устройств с голосовым помощником. Когда он обратился к Amazon за разъяснениями, корпорация проигнорировала его, лишь молча удалив ссылку на архив — но пользователь уже сохранил его копию.
Изучив файлы, пользователь выяснил, что получил чужие записи, при этом с их помощью можно было опознать их владельца: среди аудио были голосовые запросы погоды и расписания общественного транспорта, имена и фамилии, а также название компании, в которой работает человек. Осознав серьезность инцидента, пользователь обратился к журналистам.
«Если прослушать записи, становится очевидно, что пострадавший использует Alexa повсеместно: у него дома есть по меньшей мере одно устройство Echo, а также подключенная к телевизору приставка Fire, которой он управляет голосом; кроме того, Alexa установлена на его смартфоне. Иногда к голосовому помощнику обращается женский голос — следовательно, в его доме бывает женщина.
На записях отчетливо слышны команды термостату и другим гаджетам экосистемы умного дома, также по ним можно понять, когда пострадавший принимает душ», — пишут журналисты и резюмируют: «Аудиозаписи предоставили нам полный доступ к личной жизни человека без его согласия и ведома. Начиная от времени будильника и музыкальных предпочтений и заканчивая привычками, хобби и местом работы — мы узнали о «жертве» буквально все. От аморальности и вуайеристского характера ситуации у нас буквально встали дыбом волосы».
Воспользовавшись полученной информацией, журналисты сумели с легкостью идентифицировать «жертву» и его девушку и найти их профили в социальных сетях.
Что интересно, по данным Heise, компания не сообщала пострадавшему пользователю Alexa об утечке данных, и он узнал об этом только после того, как ему написали журналисты:
«Пользователь пришел в ужас, узнав о произошедшем».
Более того, лишь после публикации истории в СМИ корпорация Джеффа Безоса соизволила связаться с пострадавшим, принести извинения и в качестве компенсации подарить ему новые устройства Echo Spot и Echo Dot вместе с подпиской на Amazon Prime. С первым героем новости компания также вышла на связь — но ограничилась только объяснением, что оператор по ошибке отправил ему не те данные.
Согласно официальному заявлению Amazon, которое компания разослала журналистам, курьез действительно имел место — оператор перепутал заявки в рамках GDPR. Корпорация, однако, заверила «это был единичный случай».
«Мы приняли меры, чтобы такого больше не повторилось, и пообщались с регуляторами в профилактических целях», — отметили в Amazon (согласно GDRP, компания обязана сообщить контролирующим органам об утечке в течение 72 часов).
Также корпорация заявила, что оба пользователя не имеют к ней каких-либо претензий.
Напоследок журналисты Heise порекомендовали пользователям Alexa «дважды подумать, прежде чем доверять голосовому помощнику конфиденциальную информацию», и напомнили, что прослушать и удалить аудиозаписи, сохраненные вашим голосовым помощником, можно по адресу Amazon.com/alexaprivacy.
«Пострадавшему пользователю остается лишь радоваться, что данные попали в руки добросовестному человеку и не были выложены в открытый доступ», — подытожили журналисты.