Amazon deelde bij vergissing de Alexa bestanden van een gebruiker. Journalisten van het Duitse c’t magazine konden de gebruiker op basis daarvan identificeren en luisteren naar zijn badkamer gebruik.

Wie een apparaat met de virtuele assistent Alexa aanschaft, haalt een microfoon in huis die geluidsopnames naar de servers van Amazon stuurt. Dat die intieme huiselijke audio-opnames vervolgens kunnen gaan zwerven, ondervond een Duitse Alexa gebruiker.

In augustus 2018 vroeg een Duitse Amazon accounthouder zijn gegevens op bij het bedrijf. Onder de Europese Algemene Verordening Gegevensbescherming (AVG) die in mei dit jaar in werking is getreden, heeft iedereen het recht de gegevens op te vragen die een bedrijf of instelling van jou bewaard. Na enkele maanden ontving accounthouder X * een link naar een ZIP bestand van 100 MB. In het bestand vond accounthouder X ook Alexa gegevens. Echter, hij had nog nooit van de virtuele assistent gebruik gemaakt. Het bleken de gegevens van een andere Amazon accounthouder: meneer Y. De data bevatte geluidsbestanden en PDF documenten. Op de audio-opnames is te horen hoe meneer Y Alexa opdrachten geeft. De PDFs bevatten transcripties van de uitwisselingen tussen de meneer Y en Alexa.

Accounthouder X nam vervolgens contact op met Amazon om de fout te melden. Hij vroeg Amazon het datalek te melden aan de getroffen persoon wiens data hij onbedoeld in handen had gekregen. Maar Amazon reageerde niet op zijn mails en deed niets met de datalekmelding.

Bezorgd over de gang van zaken, legde accounthouder X in november contact met Duitse technologie magazine c’t. Hij stuurde journalisten een deel van de bestanden om via die weg het datalek aan de orde te stellen. De journalisten beluisterden de geluidsbestanden en hoorden hoe meneer X een douche nam. Ze schrijven: ‘We waren in staat om het privé leven van een totale vreemdeling te volgen zonder dat die dat wist. De immorele en bijna voyeuristische aard van wat we aan het doen waren, deed onze nekharen rechtop staan. De wekkerinstellingen, Spotify opdrachten en vragen over openbaar vervoer, onthulden veel over de persoonlijke gebruiken, de baan en de muzieksmaak van het slachtoffer.’

Op basis van de opdrachten die meneer Y aan Alexa had gegeven, konden de journalisten zijn identiteit achterhalen. Zo waren zijn vragen over het weer een indicatie van zijn woonplaats en noemde hij namen van zijn vrienden. Met die gegevens doorzochten de journalisten publiek beschikbare sociale media berichten en identificeerden meneer Y. Via Twitter legden ze contact met hem. Ze schrijven: ‘hij was hoorbaar geschrokken toen we hem vertelden over de persoonlijke data die Amazon naar een vreemdeling had gestuurd. […] Hij vroeg zich af welke geheimen hij onbedoeld had onthuld.’

Amazon stelt in de Alexa gebruiksvoorwaarden dat geluidsopnames kunnen worden bewaard met als doel de kunstmatige intelligentie van de virtuele assistent te trainen en te personaliseren. Er wordt geen termijn genoemd waarna de bestanden vernietigd worden. Alexa gebruikers kunnen wel zelf hun geluidsbestanden beluisteren en verwijderen in de privacy instellingen van hun account.

Het incident toont eens te meer aan hoe intiem de data is die we via internet-verbonden apparaten delen. En dat het onmogelijk is te voorzien hoe die bestanden met persoonlijke data ons leven zullen beïnvloeden.

* Namen van personen zijn om privacyredenen geanonimiseerd.

Bron: c’t magazine.

Beeld:  Amazon Echo Dot stemgecontroleerde speaker met Alexa virtuele assistent. Bron: Stock Catalog via Flickr CC BY 2.0.


Inschrijven
Schrijf u in voor tag alert e-mails over Elektor Ethics!