Principal Segurança Por que Alexa para negócios da Amazon é uma ideia terrível

Por que Alexa para negócios da Amazon é uma ideia terrível

Imagine terceirizar todas essas tarefas rotineiras de escritório - gerenciamento de calendários, pedidos de suprimentos, reserva de salas de reunião - para Alexa, a assistente virtual ativada por voz da Amazon. Com o novo Alexa for Business da Amazon, essa fantasia pode se tornar realidade, mas potencialmente às custas, dizem alguns pesquisadores de segurança cibernética, de sérios riscos à segurança. Pense, espionagem corporativa e hacks.

Na quinta-feira, a Amazon estreou sua nova versão corporativa de seu popular assistente virtual Alexa, que funciona com o alto-falante habilitado para Internet da Amazon, o Echo. O Alexa for Business pode fazer de tudo, desde fazer ligações até descobrir quando você deve sair para o aeroporto.



Mas o hacker de chapéu branco William Caput avisa que o Alexa for Business é um risco potencial de segurança para as empresas. Caput, que realiza testes de penetração em empresas, diz que dispositivos que sempre ouvem, como TVs inteligentes e assistentes virtuais, transmitem dados de volta para a empresa-mãe de um produto para serem usados ​​para coisas como mineração de dados.



“Parece muito ingênuo para uma empresa considerar o uso de algo assim, a menos que haja uma política de uso explícita que declare que certos tipos de transmissão de dados não acontecerão”, diz Caput. 'Antes de usá-lo, você gostaria de conduzir testes de hackers rigorosos e descobrir o que está sendo ouvido e o que está sendo enviado.'

Amazon Listening In



Como o Alexa pode ser integrado aos seus ativos de TI, como telefones e calendários, Tim Roddy, da Fidelis Security, afirma que alguns dados serão armazenados na infraestrutura do Alexa. Isso pode significar que alguns dados da empresa são armazenados ou transmitidos à Amazon.

Caput diz que a Amazon, em particular, tem incentivos para ouvir e reunir palavras-chave que podem ser usadas em marketing direcionado. O Wall Street Journa l relata que a Amazon afirma que o alto-falante Echo não envia dados para a nuvem a menos que os usuários 'despertem' o dispositivo usando seu nome - 'Alexa'. Mas, Caput diz que o Alexa for Business ainda não foi rigorosamente testado pela comunidade de segurança e os riscos potenciais, brechas de segurança e vulnerabilidades são desconhecidos.

Espionagem corporativa



As empresas realizam espionagem corporativa para obter uma vantagem sobre os negócios ou uma vantagem sobre os avanços tecnológicos, como o Uber-Waymo caso de segredo comercial de carro autônomo. Caput diz que os dispositivos sem fio são ferramentas ideais para explorar para esse fim, uma vez que os dispositivos conectados têm protocolos de segurança mínimos. “Um concorrente pode hackear o dispositivo”, diz Caput. 'Posso assumir o controle de um computador e acessar sua webcam ou um alto-falante sem fio com ferramentas disponíveis publicamente.'

Hacking do governo

quão alto é paul greene

A espionagem do governo também é um risco. “Você pode fazer com que a Agência de Segurança Nacional esteja ouvindo”, diz Caput. - Você tem todo o aparato de segurança que Ed Snowden descobriu - a interceptação de dispositivos sem justificativa.

Embora esses riscos possam soar paranóicos, como um pesquisador cibernético, Caput diz que os dispositivos conectados são uma forma preferida de violar os protocolos de segurança de uma empresa. “Não é teoria da conspiração”, diz ele. 'Já vi esses tipos de hacks ou eu mesmo os fiz com dispositivos de internet das coisas.'

Rick McElroy sugere que as empresas realizem suas próprias análises de risco para saber se vale a pena trazer uma nova tecnologia como Alexa for Business para o redil. 'O valor dessa tecnologia supera ou compensa o risco?' ', Diz McElroy, estrategista de segurança da Carbon Black, uma empresa de segurança cibernética. 'Se a resposta for' sim ', então um esforço conjunto deve ser feito para corrigir continuamente quando houver atualizações disponíveis, bem como educar os funcionários sobre as melhores práticas de segurança cibernética.'