Amazon отослала 1700 аудиозаписей пользователя Alexa случайному человеку



    Право на частную жизнь, защита приватной информации с каждым годом становятся все более важными аспектами нашей жизни. Появляются инструменты для защиты частных данных, постепенно они становятся все более сложными и надежными. Тем не менее, они не всегда помогают, случаются ситуации, которые делают все меры защиты бесполезными.

    И речь не о злобных киберпреступниках, которые в состоянии преодолеть любые преграды. Иногда данные интернет-пользователей становятся доступны случайным людям по ошибке. Именно так случилось с 1700 аудиозаписей с Alexa-устройств, принадлежащих одному пользователю, которые компания Amazon отослала стороннему человеку. Речь идет об аудиофайлах одного пользователя, которые попали (случайным образом) в руки другого.

    На днях немецкое издание Holger Bleich рассказало, что пользователь сервисов Amazon внезапно получил от компании целый набор аудиозаписей, принадлежащих стороннему пользователю. Среди них были и аудио, сделанные во время принятия пострадавшим водных процедур. По мнению журналистов издания, опубликовавшего историю, по этим файлам можно без проблем установить род занятий пользователя, его предпочтения и привычки.

    «Будильник, команды Spotify, запросы на вызов такси — все это содержалось в пакете аудиозаписей, которые получил написавший нам человек», — говорится в статье. «Используя эти файлы, можно без проблем установить род занятий пользователя, его имя, а также личность его подруги и знакомых», — рассказывают журналисты. Информация, которую можно получить из Facebook и Twitter пользователя дополняет эту картину.

    В качестве компенсации компания Amazon предоставила пострадавшему подписку на Amazon Prime, плюс подарила ему устройства Echo Dot и Spot.



    После того, как обо всем этом стало известно, в Сети появились статьи, где рассказывается о важности защиты информации пользователей сети и об их праве на личную жизнь. Все это так, но проблема сейчас не с правом и его нарушением. Настоящая проблема — не слишком хорошая защита интернет-устройств, при помощи которых злоумышленник может узнать все о личной жизни владельца.

    Что касается Amazon, возможно, решить проблему с аудио можно путем установления лимита на срок хранения файлов. Вряд ли кому-то понадобятся свои записи с вопросами типа «который час», «кто сейчас президент Уругвая» и т.п. уже через неделю после сохранения файла. К слову, инцидент, о котором идет речь — далеко не первый. Ранее в этом году беседа двух пользователей сервисов Amazon была отправлена случайному контакту из их контакт-листа. Все потому, что Alexa неверно распознала команду и выполнила то, что «послышалось».

    Кстати, Alexa может получать информацию о пользователях не только из дома. Не так давно компания Amazon представила сервис "Alexa for Hospitality", который работает в отелях. Для этого в номере устанавливается совместимое с Alexa устройство, которое находится в активном режиме. Управляется оно примерно так же, как и Echo или другие гаджеты такого типа. Отличием его от домашних устройств является то, что отель не может получить полный набор данных о пользователе, исходя из того, что он делал в номере во время пребывания в нем. Отель (а значит, и коммерческие его партнеры) получает лишь ограниченную информацию.

    Тем мне менее, Amazon получает полный набор всех запросов пользователя. А значит, у компании теперь есть данные не только о покупательских предпочтениях пользователя, его вкусах в мире литературы или фильмов, но и об «отельных» предпочтениях. Возможно, сама компания и не использует частные данные, но что, если случится крупная утечка?

    Создание нового сервиса позиционируется как возможность везде чувствовать как дома. Ведь пользователь Amazon и Alexa, у которого есть аккаунт, получает «домашний» сервис, поскольку Alexa for Hospitality предоставляет доступ к привычным этому пользователю сервисам. С другой стороны, не для всех такой вариант подходит. Можно представить, как человек, тяжело работавший в течение года, отправляется на отдых. И здесь, в отеле, сервис, который имеет доступ ко всем его данным, внезапно начинает напоминать о деловых встречах, задачах и прочих рутинных занятиях. Перспектива так себе.

    В общем смысле цифровизацию нашей жизни уже вряд ли можно остановить, поскольку сервисы и гаджеты вроде Alexa, Echo и т.п. все глубже проникают в нашу жизнь.
    Поддержать автора
    Поделиться публикацией

    Комментарии 37

      +10
      Вот почему-то я даже ни разу не удивлен
        +6

        Эм… А зачем Амазон хранит все эти запросы, да ещё и в аудио формате?

          +4
          Вероятно чтобы позднее тренировать нейронки на этих записях.
            +2
            Яндекс например так на Толоке дает слушать чужую болтовню с Алисой всем подряд. Тоже насколько я понимаю для нейронки, юзеры там расшифровывают запросы… хм… юзеров, и таким макаром видимо повышают точность распознавания. Хотя конечно без привязки к пользователю, и как-то кого-то сдеанонить по случайной реплике практически невозможно.
              +1
              Да, когда это случайный микс из записей совершенно случайных людей — сложно. В отличии от подобной подобрки на одного конкретного человека.

              Но не невозможно — например натравить другую нейронку, которая проанализировав подобную кашу из случайных записей чисто по голосу (если никаких других идентифицирующих данных вообще нет) рассортирует и сгруппирует записи принадлежащие одному человеку. Главное собрать базу побольше, чтобы было что «прочесывать».
                +1
                В этом плане все довольно безопасно. Некоторое время назад на форуме было популярное веселье посмеяться над забавными запросами, яндекс оперативно (через полгода минимум) добавил пункт про не распространять третьим лицам, а то забаним и наругаем, и оно кончилось. На форуме Толоки. Выкладывание в других местах не зарегулировать. То есть когда вы говорите «Алиса, покажи мне порно с пони», есть некоторый шанс что это услышит другой человек. К вам это никак не привязано, никто не поймет что это вы, но сам факт несколько раздражает.
                  0

                  Алиса, покажи мне, Ивану Ивановичу, порно с пони

                    +1
                    Алиса, я пони, покажи мне порно с Иваном Ивановичем.
                    0
                    По одной вырванной фразе — нет конечно. Но как писал при анализе большой выборки можно сделать автоматическую подборку записей принадлежащих одному человеку (хотя бы по голосу, если никакой другой привязки не получается) и смотреть только подборки сгруппированные по людям.

                    А тогда в некоторых случаях уже можно и идентифировать — т.к. тут вы на порнхабе развлекались, а в другой день например такси или пиццу на дом заказывали диктуя домашний адрес. А по адресу еще пробив по базе = ФИО.
                  +1
                  Яндекс дает слушать чужую болтовню не только с Алисой, а с любых голосовых вводов Яндекса – www.youtube.com/watch?v=_8g4wrwJvRU
                  И с поиска и с навигатора. Контора пишет.
              +9
              «Возможно, сама компания и не использует частные данные»

              «Да кому нужны все данные об обычных людях, хранить и обрабатывать их дорого и бессмысленно». (с) слышу постоянно
                +2
                У нас тут данные о сотрудниках разведывательного управления утекли и нечего нормально живём.
                  +2
                  Эх, в «Южном парке» как в воду смотрели.
                    0
                    Никогда такого не было, и вот опять. Если у кого возникло чувство дежавю, https://habr.com/post/359403/.
                      0

                      Я нашёл в дропбоксе чью-то домашнюю видеосъёмку

                        0

                        Я правильно понимаю, что кому-то эти записи отправлялись не случайно? Просто адресом ошиблись?

                          0
                          Просто адресом ошиблись

                          Я вот имею относительно «рядом расположенную» проблему — с относительно недавних пор мне в ящик стала падать почта некой Сары Керриган. Теперь я знаю её полный адрес (физический), знаю что она слушает, что покупает, подписки её же — все это нынче лежит в моем почтовом ящике. Я не знаю только её мобильника. И в связи с этим не могу с ней связаться… уже облазил весь фейсбук и напугал несколько Сар (почти все посчитали меня мошенником и игнорят).
                          Вот и как быть? Я то порядочный человек, но меня напрягает, что еще несколько месяцев и буду знать половину её жизни.
                          Вчера общался с поддержкой Амазона (угу, теперь я могу завладеть её профилем с привязанной картой и «делать что угодно»?) — там сначала меня не поняли, потом не поверили, потом шокировались. Если верить сказанному, то ранее с таким они не сталкивались и предпримут какие-то шаги, чтобы подобное не допустить.
                          Тем не менее сам амазон сказал, что «пока нет нарушений — ничего делать не будут»… вежливо отфутболили в гугл.
                          Вопрос — как же быть в такой ситуации?

                          P.S. Везет тем, у кого Амазон доступен — её товары, судя по уведомлениям, приходят даже раньше изначального срока. Вкус правда «так себе» — явно предпочитает бантики…
                            +1
                            Звучит слишком фантастически. Если к вам приходит почта, вы знаете почту, на которую эта почта изначально приходила (PayPal например пишет адрес в верхнем правом углу каждого письма).
                            Что вам мешает написать на эту почту со своего ящика и приложить копию попавшего к вам чужого письма? Зачем вам номер мобильного?
                              0
                              Если к вам приходит почта, вы знаете почту, на которую эта почта изначально приходила

                              Ну приходит мне её почта потому, что там «схожий» с моим почтовый адрес: у меня вида «X.Y.Z@gmail.com», а у неё «XYZ@gmail.com» — сервисы дают зарегистрироваться обоим вариантам, т.к. считают это разными ящиками, а вот гугл считает иначе.
                              Зачем это было сделано — мне не понятно.

                              Я не могу написать ей — письма идут мне же!

                              UPD: Просто я не могу уловить причины ситуации — зачем кому-то в голову могло прийти регистрироваться всюду с помощью почты, которой, по идее, человек не владеет? Или у гугла изменилась политика и ранее было иначе?

                              Я изначально подумал, что это спам (или развод какой-то), когда на почту посыпались письма от различных медиа о подписках. Но затем я стал получать письма еще и из магазинов — «избранное»/«акции»/«сформированные заказы»/«сообщения о доставке».
                              Это же живой человек получается пользуется.
                                0
                                Лишь бы ваша почта ей не шла…
                                  0
                                  Как я понимаю ситуацию — человек при регистрации в интернете использовал не свою (так ли это?) почту. Но тогда возникает резонно вопрос «а верификацию ящика человек как проходил?». В таком случае моя почта остается у меня.
                                  К тому же это не снимает вопроса «зачем это сделано было?».
                                  Однако, учитывая произошедшее, я теперь мало в чем остался уверенным.

                                  *По гугл-мапу нашел адрес, увидел дом. Даже в одном из годов гугл-машинка, как понимаю, её запечатлела. В ФБ нашел одну из Сар, что похожа на снимок с гугл-машинки. А среди фотографий этой женщины найдены были снимки, где в стекле, на отражении, видны явно схожие дома, (понятное дело, типовая застройка, но снимок был судя по всему где-то рядом).

                                  **Ну либо совсем бред — с каких-то пор у нас общая почта (быть такого ведь не может).

                                  UPD: пока писал — на почту очередное письмо «не мне» пришло.
                                    0
                                    Самое время написать ей: «Мне нужна ваша одежда и мотоцикл. Почту я уже забрал»
                                      0
                                      В начале и мне было смешно. А теперь совсем нет — из категории «забавно» ситуация перемещается в «напрягает»/«тревожно».
                                      Если бы это был лишь один амазон, я бы через живой саппорт удалил бы «аккаунт с мимикрирующей почтой». Но судя по происходящему дело амазоном никак не ограничивается.
                                        +1
                                        Вы же знаете её адрес, можете послать физическое письмо. К примеру, можно составить из вырезанных букв — «Я знаю что ты покупала на прошлой неделе»
                                          0
                                          Не сарказм: а как отправить физическое письмо человеку в Британии… я в том смысле, что опасаюсь «не дойдет».
                                          Уж про то, что письмо будет из РФ, от noname-человека — и вовсе молчу.
                                          Хотя, если не будет варианта лучше, видимо так и попробую сделать.
                                          Спасибо за идею.
                                            0
                                            Вообще я погуглил и по запросу «Send a Letter Online» довольно много сервисов которые распечатают и отправят ваше письмо. Но если честно, то не знаю как лучше отправить письмо, чтобы оно дошло. В копилку идей — завести пост на реддите, есть вероятность найти знакомых или соседей потерпевшей.
                                  0
                                  Игнорирование точек в адресе — это давняя фича почты гугла.
                                  В вашей ситуации рекомендуется общаться с отправителем этих писем.
                                    0
                                    с отправителем этих писем

                                    В данном случае это всевозможные службы Британии — от выше сказанного амазона, до BBC.
                                    Амазон сказал, что пока противоправного ничего не происходит, они не собираются вмешиваться (а сам я так же не горю желанием делать нарушения). А со всевозможными комунальщиками я сам не шибко горю желанием общаться — этим совсем шанс у нуля что-либо объяснить.
                                    Предполагаемая хозяйка/виновница мне в ФБ не отвечает (тоже, наверное, понять можно).

                                    Видимо, сову отправлять теперь мне с этим жить…
                                    0
                                    Ну приходит мне её почта потому, что там «схожий» с моим почтовый адрес: у меня вида «X.Y.Z@gmail.com», а у неё «XYZ@gmail.com» — сервисы дают зарегистрироваться обоим вариантам, т.к. считают это разными ящиками, а вот гугл считает иначе.

                                    Что-то вы недоговариваете. Гугл считает совершенно справедливо это одним и тем же адресом, см. support.google.com/mail/answer/7436150?hl=ru
                                    Соответственно, ваша Сара не может ни зарегистрировать почту, отличающуюся от вашей только точками, ни получать почту вместе с вами, соответственно, она не смогла бы подтвердить вашу почту на амазоне и других сервисах.
                                      0
                                      Писал длинный текст, потом все удалил — думайте что хотите, хоть клоуном считайте меня, мне все равно на ваше подозрение.

                                      Личные данные человека я тут выкладывать отказываюсь, это не стоит того, чтобы noname-человек перестал считать меня сумасшедшим.

                                      Если бы вы прочитали, что я выше писал, то поняли бы — я сам без понятия, почему ситуация сложилась именно так. Я бы мог предположить, что «лунатик» и делаю что-то во сне, но такого масштаба я бы творить никак не смог (откуда бы у меня могла возникнуть платежная карта с Британским адресом?).
                                        +1
                                        Ну та же фигня. Я тоже поистерил немного на форумах Гугла (куда Гугл не ходит, а ходят люди вроде меня и тех, кто почему-то хочет отвечать от имени Гугла, пусть и не всегда вежливо, но фиг с ними), и в итоге пришел к выводу, что это из-за растяпства с другой стороны.

                                        И обычно, если имя или фантазии о нем близки с уже имеющимся адресом почты. То есть, человек вроде бы зарегистрировал адрес почты, но немного забыл, как он точно пишется и на каком сервисе. И потом уже просто от балды его пишет, где адрес требуется.

                                        В итоге — периодически прилетают чужие письма. У меня уже есть Игорь, который берет билеты на Тикетланде, региональная дама, считающая меня родственником из соседнего подъезда, какой-то тезка со счетом в ВТБ и куча образовательных учреждений, которые шлют бестолковые требования, безумные отчеты и сумасшедшие национальные проекты.

                                        И, главное, им пишешь — а в ответ тишина. Никому ничего не надо. Полагаю, надо расслабиться и постараться получать удовольствие.

                                        Ps. кстати, Яндекс у меня в этом смысле также срабатывает — это оттуда весь образовательный спам.
                                  0

                                  И пишете вы с аккаунта Скерриган. Видимо, логин-пароль от её хабрааккаунта тоже к вам по ошибке попал ))

                                    +1
                                      0
                                      Надо с Джимом Рейнором связаться
                                  +2
                                  Меня удивляет, что люди таким утечкам удивляются. Если вы храните свою информацию у чужого дяди, то рано или поздно ваша информация будет доступна кому-то еще кроме вас — это же очевидно, и об этом всегда надо помнить.

                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                  Самое читаемое