Sears Home Services, salah satu penyedia perbaikan peralatan terbesar di AS, membuat jutaan percakapan pelanggan dapat diakses publik secara online untuk jangka waktu yang tidak diketahui. Peneliti keamanan Jeremiah Fowler menemukan tiga database tidak aman yang berisi 3,7 juta log obrolan, 1,4 juta file audio, dan transkrip terkait dari tahun 2024 hingga saat ini. Pelanggaran ini mengungkap informasi pribadi yang sensitif, termasuk nama, alamat, nomor telepon, detail peralatan, dan jadwal janji temu.
Paparan dan Respon Data
Data yang terungkap mencakup interaksi dengan “Samantha,” chatbot AI Sears yang didukung oleh teknologi “kAIros”. Percakapan ini berlangsung dalam bahasa Inggris dan Spanyol, sehingga menimbulkan kekhawatiran mengenai praktik keamanan Transformco, perusahaan induk Sears. Fowler memberi tahu Transformco pada awal Februari, dan database kemudian diamankan, namun durasi paparan masih belum jelas. Transformco menolak mengomentari insiden tersebut meskipun ada banyak permintaan.
Masalah Privasi Selain Log Obrolan
Yang membuat kebocoran ini sangat meresahkan adalah sifat file audio yang terekspos. Beberapa rekaman diperpanjang selama berjam-jam setelah pelanggan yakin panggilan telah berakhir, menangkap percakapan pribadi dan kebisingan latar belakang sekitar. Rekaman tersebut mencakup percakapan yang tidak terkait dengan Sears, sehingga menunjukkan adanya pelanggaran yang parah dalam pengumpulan data. Potensi eksploitasi melalui serangan phishing dan penipuan garansi sangat tinggi, mengingat informasi pelanggan terperinci yang tersedia.
Frustrasi AI dan Pengalaman Pelanggan
Log juga mengungkapkan seringnya pelanggan frustrasi dengan chatbot AI. Banyak pengguna dengan cepat meminta bantuan manusia, namun mendapat penolakan dari bot yang bersikeras akan efisiensinya. Dalam satu contoh, seorang pelanggan mengulangi “Di mana teknisi saya?” 28 kali berturut-turut, sementara yang lain memberi label bot tersebut sebagai “komputer” setelah berulang kali memberikan tanggapan yang tidak membantu. Hal ini menyoroti tantangan dalam mengintegrasikan AI ke dalam layanan pelanggan, terutama ketika teknologi tersebut gagal memenuhi harapan.
Implikasi Lebih Luas dari Risiko Data Berbasis AI
Insiden ini menggarisbawahi semakin besarnya risiko yang terkait dengan penerapan AI dalam peran yang berhubungan dengan pelanggan. Meskipun perusahaan mungkin berupaya menghemat biaya melalui otomatisasi, keamanan harus diprioritaskan. Carissa Véliz, seorang profesor di Universitas Oxford, mencatat bahwa pelanggan sering kali tidak punya pilihan selain memercayai perusahaan dengan data sensitif mereka. Dia menganjurkan transparansi yang lebih besar, pilihan untuk berbicara dengan agen manusia, dan kemampuan untuk tidak ikut merekam sama sekali.
Kebocoran data Sears menjadi pengingat bahwa merek yang sudah mapan pun dapat membahayakan privasi pelanggan melalui penerapan AI yang ceroboh. Insiden ini menggarisbawahi perlunya protokol keamanan yang kuat dan pertimbangan etis ketika mengintegrasikan AI ke dalam interaksi pelanggan.
