Door een grote tekortkoming in de gegevensbeveiliging bij Sears Home Services zijn meer dan 3,7 miljoen chatlogboeken van klanten en 1,4 miljoen audio-opnamen voor een onbekende periode online toegankelijk gebleven. Het lek, ontdekt door beveiligingsonderzoeker Jeremiah Fowler en gerapporteerd door WIRED, bevat gevoelige persoonlijke informatie zoals namen, adressen, telefoonnummers en details van het apparaat, waardoor ernstige zorgen over de privacy ontstaan.
De inbreuk: wat is er gebeurd?
De blootgestelde gegevens bestrijken de periode van 2024 tot heden en zijn afkomstig van de AI-chatbot van Sears, ‘Samantha’, die wordt gebruikt binnen de divisie Home Services. Verontrustend was dat veel audiobestanden uren lang waren, wat erop wijst dat klanten zich er niet van bewust waren dat hun gesprekken nog steeds werden opgenomen, zelfs nadat ze dachten dat de interactie was beëindigd. Dit omvatte de mogelijke opname van privégesprekken, omgevingsgeluiden in het huishouden en andere onbedoelde opnames.
Waarom dit belangrijk is
Dit incident benadrukt een groeiend risico als gevolg van de snelle inzet van AI-chatbots. Bedrijven die snelheid boven veiligheid stellen, laten klantgegevens kwetsbaar. Het feit dat Transformco, het moederbedrijf van Sears, niet reageerde op persvragen onderstreept het gebrek aan transparantie rond de inbreuk.
Wat werd blootgesteld?
De gelekte databases bevatten:
- 3,7 miljoen chatlogboeken: Volledige transcripties van klantinteracties met de AI-chatbot.
- 1,4 miljoen audiobestanden: Opnames van telefoongesprekken, waarvan sommige maximaal vier uur duren.
- Persoonlijk Identificeerbare Informatie (PII): Namen, adressen, telefoonnummers, apparaatgegevens en informatie over geplande afspraken.
Het antwoord (of het gebrek daaraan)
Hoewel de gegevens nu zijn beveiligd na de melding van Fowler, heeft Transformco publiekelijk gezwegen over de inbreuk. Dit is een kritische vergissing, omdat getroffen klanten transparantie en duidelijkheid verdienen over hoe hun gegevens in gevaar zijn gekomen en welke maatregelen worden genomen om toekomstige incidenten te voorkomen.
De bredere implicaties
Het Sears-chatbotlek staat niet op zichzelf. Naarmate meer bedrijven AI in de klantenservice integreren, neemt het potentieel voor soortgelijke inbreuken exponentieel toe. Dit incident herinnert ons er duidelijk aan dat gegevensbeveiliging niet onderhandelbaar moet zijn, zelfs niet tijdens de snelle technologische adoptie. Het stilzwijgen van Transformco versterkt alleen maar de behoefte aan strengere verantwoordingsplicht en proactieve beveiligingsmaatregelen in de hele sector.
Het gebrek aan transparantie is vooral alarmerend, aangezien het bedrijf nog steeds een substantiële afdeling Home Services exploiteert, ondanks dat er nog maar vijf winkels over zijn. Dit suggereert dat gegevensbeveiliging mogelijk geen topprioriteit is.
