Según la información desvelada por la firma de seguridad Check Point, los servicios web de Alexa tenían un bug que permitía que intrusos se hiciesen con los historiales completos de usuarios, todas las grabaciones realizadas por Alexa. Pero esta información no iba sola, sino acompaña de datos también sensibles, como la dirección del usuario, aplicaciones o acceso para instalar nuevos programas.
Según Oded Vanunu, jefe de investigación de vulnerabilidades de productos de Check Point, «encontramos una cadena de vulnerabilidades en la configuración de la infraestructura de Alexa que eventualmente permite que un atacante malintencionado recopile información sobre los usuarios e incluso instale nuevas habilidades».
Este problema surgía al dirigir a los usuarios a la página para rastrear paquetes de Amazon (track.amazon.com). Una vez dentro se podía acceder al código de Alexa y realizar las modificaciones deseadas.
Aunque el fallo fue reconocido por Amazon, la empresa afirma que no existen pruebas de que haya sido usado por ningún atacante: «No tenemos conocimiento de ningún caso de uso de esta vulnerabilidad contra nuestros clientes o de que se exponga la información del cliente». En cambio, desde Check Point afirman haber realizado una intrusión para probar el fallo detectado. En todo caso, existe cierta controversia entre ambas empresas.
Es complicado controlar qué hacen las empresas con la información que uno cede, aunque ejemplos como este pueden servir de aviso para que los usuarios utilicen las funciones que suelen facilitar y borrar de vez en cuando, o a diario, el historial de grabaciones.