Sears Home Services, einer der größten Anbieter von Haushaltsgerätereparaturen in den USA, hat Millionen von Kundengesprächen für einen unbekannten Zeitraum online öffentlich zugänglich gemacht. Der Sicherheitsforscher Jeremiah Fowler entdeckte drei ungesicherte Datenbanken mit 3,7 Millionen Chatprotokollen, 1,4 Millionen Audiodateien und entsprechenden Transkripten von 2024 bis heute. Durch diesen Verstoß wurden vertrauliche persönliche Informationen offengelegt, darunter Namen, Adressen, Telefonnummern, Gerätedetails und geplante Termine.
Die Datenfreigabe und Reaktion
Zu den offengelegten Daten gehörten Interaktionen mit „Samantha“, dem KI-Chatbot von Sears, der auf der „kAIros“-Technologie basiert. Diese Gespräche fanden sowohl auf Englisch als auch auf Spanisch statt und äußerten Bedenken hinsichtlich der Sicherheitspraktiken von Transformco, der Muttergesellschaft von Sears. Fowler benachrichtigte Transformco Anfang Februar und die Datenbanken wurden anschließend gesichert, die Dauer der Offenlegung bleibt jedoch unklar. Transformco lehnte es trotz mehrfacher Anfragen ab, sich zu dem Vorfall zu äußern.
Datenschutzbedenken über Chat-Protokolle hinaus
Was dieses Leck besonders besorgniserregend macht, ist die Art der offengelegten Audiodateien. Einige Aufzeichnungen erstreckten sich über Stunden, nachdem Kunden glaubten, die Anrufe seien beendet, und erfassten private Gespräche und Umgebungsgeräusche. Die Aufzeichnungen enthielten Gespräche, die nichts mit Sears zu tun hatten, was auf eine erhebliche Überschreitung der Datenerfassung hindeutet. Das Potenzial für Ausnutzung durch Phishing-Angriffe und Garantiebetrug ist angesichts der verfügbaren detaillierten Kundeninformationen hoch.
KI-Frustration und Kundenerfahrung
Die Protokolle offenbaren auch häufige Frustrationen der Kunden über den KI-Chatbot. Viele Benutzer baten schnell um menschliche Hilfe, stießen jedoch auf den Widerstand des Bots, der auf seiner Effizienz beharrte. In einem Fall wiederholte ein Kunde: „Wo ist mein Techniker?“ 28 Mal hintereinander, während ein anderer den Bot nach wiederholten nicht hilfreichen Antworten als „Computer“ bezeichnete. Dies verdeutlicht die Herausforderungen bei der Integration von KI in den Kundenservice, insbesondere wenn die Technologie die Erwartungen nicht erfüllt.
Die umfassenderen Auswirkungen KI-gesteuerter Datenrisiken
Dieser Vorfall unterstreicht die wachsenden Risiken, die mit dem Einsatz von KI in kundenorientierten Rollen verbunden sind. Während Unternehmen möglicherweise Kosteneinsparungen durch Automatisierung anstreben, muss die Sicherheit Vorrang haben. Carissa Véliz, Professorin an der Universität Oxford, stellt fest, dass Kunden oft keine andere Wahl haben, als Unternehmen ihre sensiblen Daten anzuvertrauen. Sie plädiert für mehr Transparenz, die Möglichkeit, mit menschlichen Agenten zu sprechen, und die Möglichkeit, die Aufzeichnung ganz abzulehnen.
Das Datenleck bei Sears ist eine deutliche Erinnerung daran, dass selbst etablierte Marken die Privatsphäre ihrer Kunden durch unvorsichtige KI-Implementierung gefährden können. Der Vorfall unterstreicht die Notwendigkeit robuster Sicherheitsprotokolle und ethischer Überlegungen bei der Integration von KI in Kundeninteraktionen.
