Bayangkan mengalihdayakan semua tugas kantor biasa--mengelola kalender, memesan persediaan, memesan ruang rapat--ke Alexa, asisten virtual Amazon yang diaktifkan dengan suara. Dengan Alexa for Business baru Amazon, fantasi itu bisa menjadi kenyataan, tetapi berpotensi mengorbankan, kata beberapa peneliti keamanan siber, dari risiko keamanan yang serius. Pikirkan, spionase perusahaan dan peretasan.
Pada hari Kamis, Amazon memulai debutnya versi perusahaan baru dari asisten virtual populer Alexa, yang bekerja dengan speaker Echo yang mendukung Internet Amazon. Alexa for Business dapat melakukan segalanya mulai dari menelepon hingga mencari tahu kapan Anda harus berangkat ke bandara.
Tetapi peretas topi putih William Caput memperingatkan bahwa Alexa for Business adalah risiko keamanan potensial bagi perusahaan. Caput, yang melakukan tes penetrasi pada perusahaan, mengatakan perangkat yang selalu mendengarkan, seperti TV pintar dan asisten virtual, mengirimkan data kembali ke perusahaan induk produk untuk digunakan untuk hal-hal seperti penambangan data.
'Tampaknya sangat naif bagi bisnis untuk mempertimbangkan menggunakan sesuatu seperti ini kecuali ada kebijakan penggunaan eksplisit yang menyatakan jenis transmisi data tertentu tidak akan terjadi,' kata Caput. 'Sebelum Anda menggunakannya, Anda ingin melakukan pengujian peretasan yang ketat dan mencari tahu apa yang sedang didengarkan dan apa yang sedang dikirim.'
Amazon Mendengarkan
Karena Alexa dapat diintegrasikan dengan aset TI Anda seperti ponsel dan kalender, Tim Roddy dari Fidelis Security mengatakan bahwa beberapa data akan disimpan dalam infrastruktur Alexa. Ini bisa berarti bahwa beberapa data perusahaan disimpan oleh atau dikirim ke Amazon.
Caput mengatakan Amazon, khususnya, memiliki insentif untuk mendengarkan dan mengumpulkan kata kunci yang kemudian dapat digunakan dalam pemasaran yang ditargetkan. Itu Jurnal Wall Street l melaporkan bahwa Amazon mengklaim speaker Echo tidak mengirim data ke cloud kecuali pengguna 'membangunkan' perangkat dengan menggunakan namanya--'Alexa.' Namun, Caput mengatakan Alexa for Business belum diuji secara ketat oleh komunitas keamanan, dan potensi risiko, lubang keamanan, dan kerentanan tidak diketahui.
Spionase Perusahaan
Perusahaan melakukan spionase perusahaan untuk mendapatkan kesepakatan atau keunggulan dalam kemajuan teknologi, seperti Uber-Waymo kasus rahasia dagang mobil self-driving. Caput mengatakan perangkat nirkabel adalah alat yang ideal untuk dieksploitasi untuk tujuan ini, karena perangkat yang terhubung memiliki protokol keamanan minimal. 'Pesaing bisa meretas perangkat,' kata Caput. 'Saya dapat mengendalikan komputer dan mengakses kamera web atau speaker nirkabel dengan alat yang tersedia untuk umum.'
Peretasan Pemerintah
Berapa tinggi Julio Iglesias?
Pengintaian pemerintah juga berisiko. 'Anda dapat meminta Badan Keamanan Nasional untuk mendengarkan,' kata Caput. 'Anda memiliki seluruh aparat keamanan yang ditemukan Ed Snowden -- penyadapan perangkat tanpa surat perintah.'
Sementara risiko ini mungkin terdengar paranoid, sebagai peneliti cyber, Caput mengatakan perangkat yang terhubung adalah cara yang disukai untuk melanggar protokol keamanan perusahaan. 'Ini bukan teori konspirasi,' katanya. 'Saya telah melihat jenis peretasan ini atau saya telah melakukannya sendiri dengan perangkat internet-of-things.'
Rick McElroy menyarankan agar perusahaan melakukan analisis risiko mereka sendiri, apakah perlu membawa teknologi baru seperti Alexa for Business ke dalam flip. 'Apakah nilai teknologi ini lebih besar daripada, atau mengimbangi, risikonya?'' kata McElroy, ahli strategi keamanan di Carbon Black, sebuah perusahaan keamanan siber. 'Jika jawabannya 'ya,' maka upaya bersama harus dilakukan untuk terus menambal saat pembaruan tersedia serta mendidik karyawan tentang praktik terbaik keamanan siber.'
