En raison d'une erreur interne, Amazon a récemment envoyé 1700 fichiers vocaux Alexa à un client non concerné. Le magazine informatique allemand c't n'explique pas ce qui s'est passé.
La disgrâce d'Alexa a commencé lorsqu'un client d'Amazon a fait usage de son droit d'accès aux données personnelles accordé par le nouveau règlement général de l'UE sur la protection des données (RGPD). Sa demande lui a non seulement donné accès à ses propres données de recherche Amazon, mais aussi à environ 1 700 fichiers vocaux Alexa enregistrés dans le salon, la chambre et la douche d'un autre utilisateur. Le client vigilant a informé Amazon de l'erreur, mais Amazon a ignoré son avertissement et a simplement supprimé les fichiers de son serveur.
Heureusement, la source avait sauvegardé les fichiers localement et les avait envoyés (en toute confidentialité bien sûr) aux experts internes du magazine c't pour analyse. En se basant sur des détails tels que les noms des personnes et les prévisions météorologiques locales enregistrées dans les fichiers, ils ont rapidement été en mesure d'identifier le malheureux utilisateur d'Echo dont les données avaient été exposées illégalement par Amazon. La victime a été choquée quand le magazine c't lui a expliqué ce qui c'était passé, d'autant plus qu'Amazon n'avait pas pris la peine de le prévenir, même si ceux-ci savaient que la fuite avait eu lieu.
Ce désastre en matière de confidentialité des données s'est produit parce qu'Amazon.de sauvegarde les enregistrements vocaux d'Alexa indéfiniment et parce que les processus qu'il utilise pour les exploiter ont de sérieux problèmes de sécurité. C'est le pire scénario dont nous avaient prévenus les experts en sécurité des données et en droits des consommateurs. Il est impossible de dire s'il s'agit vraiment d'un incident isolé comme le prétend Amazon.
[Mise à jour]
Aujourd'hui, Amazon nous a envoyé une déclaration améliorée sur l'affaire. L'entreprise a souligné qu'il s'agissait d'un "incident isolé" et qu'un contact avait été établi avec les autorités compétentes, je cite : "C'était un cas malheureux d'erreur humaine et un incident isolé. Nous avons résolu le problème avec les deux clients concernés et avons pris des mesures pour améliorer davantage nos processus. Nous avons également été en contact, par précaution, avec les autorités réglementaires compétentes."
Par Holger Bleich.
Sauce :
https://www.heise.de/newsticker/meldung/Amazon-reveals-private-voice-data-files-4256015.html