Una grave falla nella sicurezza dei dati presso Sears Home Services ha lasciato oltre 3,7 milioni di registri di chat dei clienti e 1,4 milioni di registrazioni audio accessibili pubblicamente online per un periodo sconosciuto. La fuga di notizie, scoperta dal ricercatore di sicurezza Jeremiah Fowler e segnalata da WIRED, include informazioni personali sensibili come nomi, indirizzi, numeri di telefono e dettagli degli elettrodomestici, sollevando seri problemi di privacy.
La violazione: cosa è successo?
I dati esposti vanno dal 2024 ad oggi e provengono dal chatbot AI di Sears, “Samantha”, utilizzato all’interno della sua divisione Home Services. In modo inquietante, molti file audio duravano ore, suggerendo che i clienti non erano consapevoli che le loro conversazioni continuavano a essere registrate anche dopo che credevano che l’interazione fosse terminata. Ciò includeva la potenziale acquisizione di discussioni private, suoni ambientali domestici e altre registrazioni non intenzionali.
Perché è importante
Questo incidente evidenzia un rischio crescente con la rapida implementazione dei chatbot AI. Le aziende che danno priorità alla velocità rispetto alla sicurezza lasciano i dati dei clienti vulnerabili. Il fatto che Transformco, la società madre di Sears, non abbia risposto alle domande della stampa sottolinea la mancanza di trasparenza che circonda la violazione.
Cosa è stato scoperto?
I database trapelati contenevano:
- 3,7 milioni di registri di chat: Trascrizioni complete delle interazioni dei clienti con il chatbot AI.
- 1,4 milioni di file audio: registrazioni di conversazioni telefoniche, alcune della durata fino a quattro ore.
- Informazioni di identificazione personale (PII): Nomi, indirizzi, numeri di telefono, dettagli dell’elettrodomestico e informazioni sugli appuntamenti programmati.
La risposta (o la sua mancanza)
Sebbene i dati siano stati ora protetti in seguito alla notifica di Fowler, Transformco è rimasta pubblicamente in silenzio sulla violazione. Si tratta di una supervisione fondamentale, poiché i clienti interessati meritano trasparenza e chiarezza su come i loro dati sono stati compromessi e su quali misure vengono adottate per prevenire incidenti futuri.
Le implicazioni più ampie
La fuga di notizie dal chatbot di Sears non è un evento isolato. Man mano che sempre più aziende integrano l’intelligenza artificiale nel servizio clienti, il potenziale di violazioni simili aumenta in modo esponenziale. Questo incidente serve a ricordare duramente che la sicurezza dei dati non deve essere negoziabile, anche durante una rapida adozione tecnologica. Il silenzio di Transformco non fa altro che rafforzare la necessità di una responsabilità più rigorosa e di misure di sicurezza proattive in tutto il settore.
La mancanza di trasparenza è particolarmente allarmante, dato che l’azienda gestisce ancora un’importante divisione di servizi per la casa nonostante siano rimasti solo cinque negozi al dettaglio. Ciò suggerisce che la sicurezza dei dati potrebbe non essere una priorità assoluta.
