Пользователь Amazon ошибочно получил архив с 1700 записанными голосовыми командами, которые другой человек отправлял помощнику Alexa. Файлы были анонимизированы, но журналисты смогли установить жертву утечки по содержанию разговоров и связаться с ней. В августе 2018 года некий интернет-пользователь решил воспользоваться своими правами в рамках GDPR и запросил у Amazon архив со своими персональными данными. В ответ он получил ссылку на 100-мегабайтный архив, где были несколько десятков каталогов с интернет-запросами к Alexa, около 1700 WAF-файлов и PDF с расшифровкой голосовых команд. Пользователь пришел в замешательство, поскольку у него вовсе не было помощника от Amazon. На записях он услышал незнакомые голоса — мужской и женский. Клиент обратился в службу поддержки за разъяснениями, но ответа не получил. Через некоторое время предоставленная ссылка перестала работать. К этому времени пользователь уже успел сохранить себе все файлы. Обеспокоившись приватностью незнакомого ему человека, он решил сообщить об утечке СМИ, чтобы сотрудники Amazon не скрыли произошедшее от пострадавшего клиента. Как показали дальнейшие события, компания действительно не стала его уведомлять. Журналисты немецкого журнала c’t (сокращение от нем. Computertechnik — компьютерная технология) смогли установить личность пользователя Alexa по обрывочным сведениям из аудиозаписей. По их словам, материалы охватывали некий период в мае 2018 года. Анализ файлов раскрыл немало сведений о личной жизни этого человека, таких как список его устройств Amazon с поддержкой голосовых команд, распорядок дня, работа, музыкальные пристрастия, даже имена некоторых друзей. Расследование привело журналистов к аккаунтам пользователя в социальных сетях, где они и вышли с ним на контакт. Рассказ о произошедшем поверг жертву утечки в шок — мужчина стал вспоминать, какими сведениями он и его друзья могли поделиться с Alexa. Он подтвердил, что не получал уведомлений о произошедшей подмене. В ответ на запрос журналистов представители Amazon сообщили, что чужие аудиозаписи попали в архив первого пользователя из-за человеческого фактора. По их словам, компания решила вопрос с обоими участниками инцидента и приняла меры для предотвращения подобных ситуаций в будущем. Подробности этого урегулирования сотрудники Amazon раскрывать не стали. Журналисты напоминают, что новый европейский регламент о защите персональных данных (GDPR) обязывает компании сообщать жертвам утечек об угрозе их информации. Поскольку все участники инцидента проживают в Германии, он подпадает под действие этого закона. За нарушение установленных правил Amazon может грозить штраф в десятки миллионов евро. По словам двух пользователей, с ними связались уже после того, как история попала в СМИ. Инициатору первоначального запроса сообщили по телефону, что утечка имела единичный характер и произошла по вине некоего сотрудника Amazon. Жертва инцидента получила формальное уведомление о произошедшем, при этом сотрудники поддержки заявили, что сами обнаружили ошибку. В качестве компенсации компания предложила клиенту апгрейд до Prime-аккаунта и бесплатные устройства Echo Dot и Spot. Эксперты отмечают, что проблема не возникла бы, если бы Amazon удаляла записи голосовых команд по истечении некоего установленного срока. Однако, как следует из правил компании , эти материалы используются для развития и совершенствования ее сервисов. Владельцы устройств с Alexa могут прослушать и самостоятельно удалить свои аудиозаписи на специально созданной странице , но далеко не все пользователи знают о ее существовании.