Sears Home Services, uno dei maggiori fornitori di riparazioni di elettrodomestici negli Stati Uniti, ha lasciato milioni di conversazioni dei clienti accessibili pubblicamente online per un periodo sconosciuto. Il ricercatore di sicurezza Jeremiah Fowler ha scoperto tre database non protetti contenenti 3,7 milioni di registri di chat, 1,4 milioni di file audio e trascrizioni corrispondenti dal 2024 a oggi. Questa violazione ha esposto informazioni personali sensibili, inclusi nomi, indirizzi, numeri di telefono, dettagli degli elettrodomestici e appuntamenti programmati.
L’esposizione e la risposta dei dati
I dati esposti includevano interazioni con “Samantha”, il chatbot AI di Sears basato sulla tecnologia “kAIros”. Queste conversazioni riguardavano sia l’inglese che lo spagnolo, sollevando preoccupazioni sulle pratiche di sicurezza di Transformco, la società madre di Sears. Fowler ha informato Transformco all’inizio di febbraio e i database sono stati successivamente messi al sicuro, ma la durata dell’esposizione rimane poco chiara. Transformco ha rifiutato di commentare l’incidente nonostante le molteplici richieste.
Preoccupazioni sulla privacy oltre i registri delle chat
Ciò che rende questa fuga di notizie particolarmente preoccupante è la natura dei file audio esposti. Alcune registrazioni si prolungavano per ore dopo che i clienti credevano che le chiamate fossero terminate, catturando conversazioni private e rumore di fondo ambientale. Le registrazioni includevano conversazioni non correlate a Sears, suggerendo un grave superamento della raccolta dei dati. Il potenziale di sfruttamento tramite attacchi di phishing e truffe sulle garanzie è elevato, date le informazioni dettagliate sui clienti disponibili.
Frustrazione dell’IA ed esperienza del cliente
I registri rivelano anche la frequente frustrazione dei clienti nei confronti del chatbot AI. Molti utenti hanno subito richiesto assistenza umana, per poi incontrare la reazione del bot che insisteva sulla sua efficienza. In un caso, un cliente ha ripetuto “Dov’è il mio tecnico?” 28 volte di seguito, mentre un altro ha etichettato il bot “un computer” dopo ripetute risposte inutili. Ciò evidenzia le sfide legate all’integrazione dell’intelligenza artificiale nel servizio clienti, in particolare quando la tecnologia non riesce a soddisfare le aspettative.
Le implicazioni più ampie dei rischi legati ai dati legati all’intelligenza artificiale
Questo incidente sottolinea i crescenti rischi associati all’implementazione dell’intelligenza artificiale nei ruoli a contatto con i clienti. Sebbene le aziende possano cercare di risparmiare sui costi attraverso l’automazione, la sicurezza deve avere la priorità. Carissa Véliz, professoressa dell’Università di Oxford, osserva che spesso i clienti non hanno altra scelta se non quella di affidare alle aziende i loro dati sensibili. Sostiene una maggiore trasparenza, la possibilità di parlare con agenti umani e la possibilità di rinunciare del tutto alla registrazione.
La fuga di dati di Sears serve a ricordare che anche i marchi affermati possono mettere a repentaglio la privacy dei clienti attraverso un’implementazione incauta dell’intelligenza artificiale. L’incidente sottolinea la necessità di solidi protocolli di sicurezza e considerazioni etiche quando si integra l’intelligenza artificiale nelle interazioni con i clienti.
