Poważne naruszenie bezpieczeństwa w Sears Home Services spowodowało, że ponad 3,7 miliona dzienników czatów i 1,4 miliona nagrań dźwiękowych klientów było publicznie dostępnych w Internecie przez nieznany okres. Wyciek odkryty przez badacza bezpieczeństwa Jeremiaha Fowlera i opublikowany w WIRED okazał się zawierać wrażliwe dane osobowe, takie jak nazwiska, adresy, numery telefonów i dane urządzeń, co budzi poważne obawy dotyczące prywatności.
Wyciek danych: co się stało?
Naruszenie danych obejmuje okres od 2024 r. do chwili obecnej i dotyczy chatbota opartego na sztucznej inteligencji firmy Sears o nazwie „Samantha”, wykorzystywanego w dziale usług domowych. Warto zauważyć, że wiele plików audio trwało godziny, co sugeruje, że klienci nie byli świadomi, że ich rozmowy są nadal nagrywane, nawet gdy myśleli, że interakcja się zakończyła. Może to obejmować nagrywanie prywatnych rozmów, dźwięków otoczenia w domu i innych niezamierzonych nagrań.
Dlaczego to jest ważne?
Incydent uwydatnia rosnące ryzyko związane z szybkim przyjęciem chatbotów opartych na sztucznej inteligencji. Firmy, które przedkładają szybkość nad bezpieczeństwo, narażają dane klientów na ryzyko. Fakt, że Transformco, spółka matka Sears, nie odpowiedziała na zapytania prasy, podkreśla brak przejrzystości w zakresie naruszenia bezpieczeństwa danych.
Co zostało ujawnione?
Wyciek danych zawierał:
- 3,7 miliona dzienników czatów: pełne transkrypcje interakcji klientów z chatbotem opartym na sztucznej inteligencji.
- 1,4 miliona plików audio: Nagrane rozmowy telefoniczne, niektóre trwające do czterech godzin.
- Dane osobowe (PII): Imiona i nazwiska, adresy, numery telefonów, informacje o urządzeniu i informacje o zaplanowanych spotkaniach.
Odpowiedź (lub jej brak)
Chociaż dane zostały zabezpieczone po powiadomieniu Fowlera, Transformco milczy na temat naruszenia danych. Jest to poważne przeoczenie, ponieważ dotknięci klienci zasługują na przejrzystość i jasność co do tego, w jaki sposób ich dane zostały naruszone oraz jakie środki zostały podjęte, aby zapobiec przyszłym incydentom.
Szersze implikacje
Wyciek danych chatbota Sears nie jest odosobnionym przypadkiem. W miarę jak coraz więcej firm integruje sztuczną inteligencję w obsłudze klienta, prawdopodobieństwo podobnych naruszeń danych wzrasta wykładniczo. Ten incydent stanowi wyraźne przypomnienie, że bezpieczeństwo danych musi być bezwarunkowe, nawet przy szybkim wdrażaniu technologii. Milczenie Transformco tylko wzmacnia potrzebę większej odpowiedzialności i proaktywnych środków bezpieczeństwa w całej branży.
Brak przejrzystości jest szczególnie niepokojący, biorąc pod uwagę, że firma nadal prowadzi duży dział usług domowych, mimo że pozostało tylko pięć sklepów detalicznych. Sugeruje to, że bezpieczeństwo danych może nie być priorytetem.
