Un usuario de Amazon en Alemania solicitó el archivo de sus datos personales y obtuvo acceso a 1700 grabaciones de audio de alguien que no conocía.
Según la revista c’t, el usuario ejerció sus derechos en virtud del Reglamento General de Protección de Datos de la UE solicitando sus datos a Amazon en agosto. Dos meses después, Amazon le envió un archivo zip descargable de 100 Mb.
Algunos de los archivos estaban supuestamente relacionados con sus búsquedas de Amazon. Pero según la revista, también había cientos de archivos wav y un PDF que catalogaba las transcripciones de las interpretaciones de Alexa de los comandos de voz. Esto era bastante peculiar porque el usuario en cuestión no poseía ningún dispositivo con Alexa y nunca había usado el servicio. Tampoco reconoció las voces en los archivos.
El usuario reportó el asunto a Amazon y solicitó información. Al parecer, no recibió respuesta, pero pronto descubrió que el enlace a los datos había dejado de funcionar. Sin embargo, ya había guardado los archivos y pudo compartir su experiencia con la revista c’t por temor a que la persona cuya privacidad había sido comprometida no fuera informada del error.
La revista c’t escuchó muchos de los archivos y pudo “juntar una imagen detallada del cliente en cuestión y de sus hábitos personales”. Había usado Alexa en varios lugares, tenía un Echo en casa y un Fire en su televisor. A veces había una mujer con él. Hablaba desde la ducha.
Pudimos navegar por la vida privada de un completo desconocido sin su conocimiento, y la naturaleza inmoral, casi voyeurista de lo que estábamos haciendo nos puso los pelos de punta. Las alarmas, los comandos de Spotify y las consultas sobre transporte público incluidas en los datos revelaron mucho sobre los hábitos personales de las víctimas, sus trabajos y su gusto por la música. Usando estos archivos, fue bastante fácil identificar a la persona involucrada y su compañera. Las consultas meteorológicas, los nombres e incluso el apellido de alguien nos permitieron concentrarnos rápidamente en su círculo de amigos. Los datos públicos de Facebook y Twitter completaron la imagen.
Usando la información que recolectaron de las grabaciones, c’t contactó con la víctima de la filtración, que confirmó que era el hombre de las grabaciones y que la revista había descubierto la identidad de su novia. Amazon se había puesto en contacto con él. “Estaba en shock”.
Días más tarde, tanto la víctima como el receptor de los archivos fueron contactados por Amazon para hablar sobre el incidente. Ambos recibieron una llamada tres días después de que la revista c’t preguntara Amazon por el asunto. Al parecer, un representante de Amazon les dijo que uno de los miembros de su equipo había cometido un error por primera y última vez.
Cuando le pedimos explicaciones, Amazon envió a Gizmodo la misma declaración que había compartido con Reuters. “Este fue un caso desafortunado de error humano y un incidente aislado. Hemos resuelto el problema con los dos clientes involucrados y hemos tomado medidas para mejorar nuestros procesos. También nos pusimos en contacto con las autoridades reguladoras pertinentes”.
Amazon no respondió a las preguntas de Gizmodo sobre cómo un error humano llevó a esta infracción de privacidad, ni si había contactado inicialmente con la víctima para informarle de que su información confidencial había sido compartida con un desconocido.
Las grabaciones de la víctima fueron realizadas en mayo. Ese mismo mes, una mujer de Portland descubrió que su Echo había enviado una conversación grabada entre ella y su esposo a uno de sus empleados. Amazon dijo que el asistente virtual malinterpretó una frase como una orden para enviar la conversación a un contacto.