Amazon hat mit Alexa einen der erfolgreichsten smarten Lautsprecher auf dem Markt. Doch wie sicher sind private Daten in der Nähe von Alexa? Offenbar kann man dem System nicht besonders trauen. Amazons Alexa soll in einem Fall in Deutschland aufgezeichnete Sprachnachrichten ungefragt versendet haben – insgesamt ganze 1.700 Stück.
Amazon schickt private Infos an fremden Kunden
Der Empfänger der privaten Details, die Alexa preisgegeben hat, lebt auch in Deutschland. Allerdings war ihm der Verfasser der Sprachnachrichten vollkommen unbekannt. Wie die Aufzeichnungen von Amazons Alexa an die falsche Person geraten konnten, ist bisher unklar. Bekannt ist nur, dass der unfreiwillige Empfänger der Sprachdateien nach dem DSGVO-Urteil um Auskunft bei Amazon gebeten hatte. Er wollte wissen, welche Daten der Konzern über ihn gespeichert hat.
Nach einigen Wochen erhielt er seine Daten als ZIP-Datei. Darunter waren die besagten 1.700 WAV-Dateien sowie ein PDF mit Alexa-Befehlen. Doch hatte er hatte Alexa bis dahin weder benutzt noch besessen. Die Daten mussten somit einem anderen Kunden zugeordnet werden.
Daten-Leck bei Alexa: Amazon reagiert spät
Diese Infos waren so eindeutig privat, dass der unfreiwillige Empfänger sich mit den Details an die deutsche Fachzeitschrift c’t (Heise) wandte. Anhand der Informationen konnte das eigentliche Opfer des Daten-Lecks schließlich ausfindig gemacht werden. Die Infos beinhalteten den vollständigen Namen des Betroffenen, seinen Musikgeschmack, die Namen der Freunde sowie Wetteranfragen oder Streckenverläufe.
Amazon selbst hatte sich bei dem Betroffenen bis dahin nicht gemeldet. Als die Geschichte vor wenigen Tagen im von c’t veröffentlicht wurde, kam doch Bewegung in die Sache. Amazon bot ihm zum Ausgleich eine kostenfreie Prime-Mitgliedschaft an. Außerdem sollen ihm nach eigenen Angaben zwei weitere Echo-Geräte angeboten worden sein.
Amazon: Prüfmechanismen mangelhaft
Eine solche Panne weist deutlich auf mangelnde Prüf-Abläufe bei Amazon hin. Laut Gesetz müsste Amazon das Daten-Leck innerhalb von 72 Stunden an die zuständige Datenschutzbehörde melden. Ob dies rechtzeitig passiert ist, hat der Konzern bisher nicht bekanntgegeben.
Man habe immerhin bereits „Maßnahmen zur weiteren Verbesserung der Prozesse ergriffen“, wie es gegenüber c’t heißt. Auf Anfrage des Magazins gab Amazon wenige Tage später eine weitere Stellungnahme ab. Demnach handele es sich bei dem Vorfall um einen „isolierten Einzelfall“.