Une faille majeure dans la sécurité des données chez Sears Home Services a laissé plus de 3,7 millions de journaux de discussion client et 1,4 million d’enregistrements audio accessibles au public en ligne pendant une période inconnue. La fuite, découverte par le chercheur en sécurité Jeremiah Fowler et rapportée par WIRED, comprend des informations personnelles sensibles telles que des noms, des adresses, des numéros de téléphone et des détails sur les appareils, soulevant de graves problèmes de confidentialité.
La brèche : que s’est-il passé ?
Les données exposées s’étendent de 2024 à aujourd’hui, provenant du chatbot IA de Sears, « Samantha », utilisé au sein de sa division Home Services. Fait troublant, de nombreux fichiers audio duraient heures, ce qui suggère que les clients ne savaient pas que leurs conversations continuaient d’être enregistrées même après qu’ils pensaient que l’interaction était terminée. Cela incluait la capture potentielle de discussions privées, de sons ambiants dans la maison et d’autres enregistrements involontaires.
Pourquoi c’est important
Cet incident met en évidence un risque croissant avec le déploiement rapide des chatbots IA. Les entreprises qui privilégient la rapidité plutôt que la sécurité laissent les données de leurs clients vulnérables. Le fait que Transformco, la société mère de Sears, n’ait pas répondu aux demandes de la presse souligne le manque de transparence entourant la violation.
Qu’est-ce qui a été exposé ?
Les bases de données divulguées contenaient :
- 3,7 millions de journaux de discussion : Transcriptions complètes des interactions des clients avec le chatbot IA.
- 1,4 million de fichiers audio : Enregistrements de conversations téléphoniques, certaines durant jusqu’à quatre heures.
- Informations personnelles identifiables (PII) : Noms, adresses, numéros de téléphone, détails de l’appareil et informations sur les rendez-vous programmés.
La réponse (ou son absence)
Bien que les données soient désormais sécurisées suite à la notification de Fowler, Transformco est restée publiquement silencieuse sur la violation. Il s’agit d’une surveillance essentielle, car les clients concernés méritent transparence et clarté sur la manière dont leurs données ont été compromises et sur les mesures prises pour prévenir de futurs incidents.
Les implications plus larges
La fuite du chatbot Sears n’est pas un événement isolé. À mesure que de plus en plus d’entreprises intègrent l’IA dans leur service client, le risque de violations similaires augmente de façon exponentielle. Cet incident nous rappelle brutalement que la sécurité des données ne doit pas être négociable, même en cas d’adoption technologique rapide. Le silence de Transformco ne fait que renforcer la nécessité d’une responsabilité plus stricte et de mesures de sécurité proactives dans l’ensemble du secteur.
Le manque de transparence est particulièrement alarmant, étant donné que l’entreprise exploite toujours une importante division de services à domicile même s’il ne lui reste que cinq magasins de détail. Cela suggère que la sécurité des données n’est peut-être pas une priorité absolue.
