Sears Home Services, een van de grootste reparatiebedrijven voor apparaten in de VS, heeft miljoenen gesprekken met klanten voor een onbekende periode online openbaar toegankelijk gelaten. Beveiligingsonderzoeker Jeremiah Fowler ontdekte drie onbeveiligde databases met 3,7 miljoen chatlogboeken, 1,4 miljoen audiobestanden en bijbehorende transcripties van 2024 tot nu. Bij deze inbreuk kwam gevoelige persoonlijke informatie vrij, waaronder namen, adressen, telefoonnummers, apparaatgegevens en geplande afspraken.
De gegevensblootstelling en -respons
De blootgestelde gegevens omvatten interacties met ‘Samantha’, de AI-chatbot van Sears, aangedreven door de ‘kAIros’-technologie. Deze gesprekken besloegen zowel het Engels als het Spaans, waardoor er bezorgdheid ontstond over de beveiligingspraktijken van Transformco, het moederbedrijf van Sears. Fowler bracht Transformco begin februari op de hoogte en de databases werden vervolgens beveiligd, maar de duur van de blootstelling blijft onduidelijk. Transformco weigerde commentaar te geven op het incident, ondanks meerdere verzoeken.
Privacyproblemen die verder gaan dan chatlogboeken
Wat dit lek bijzonder verontrustend maakt, is de aard van de blootgestelde audiobestanden. Sommige opnames duurden uren nadat klanten dachten dat de gesprekken waren beëindigd, waarbij privégesprekken en omgevingsgeluiden werden vastgelegd. De opnames bevatten gesprekken die geen verband hielden met Sears, wat duidt op een ernstige overschrijding van de gegevensverzameling. De kans op misbruik via phishing-aanvallen en garantiefraude is groot, gezien de gedetailleerde beschikbare klantinformatie.
AI-frustratie en klantervaring
Uit de logboeken blijkt ook dat klanten vaak gefrustreerd zijn over de AI-chatbot. Veel gebruikers vroegen snel om menselijke hulp, maar kregen te maken met tegenwerking van de bot die aandrong op de efficiëntie ervan. In één geval herhaalde een klant: “Waar is mijn technicus?” 28 keer op rij, terwijl een ander de bot ‘een computer’ noemde na herhaalde nutteloze reacties. Dit benadrukt de uitdagingen van het integreren van AI in de klantenservice, vooral wanneer de technologie niet aan de verwachtingen voldoet.
De bredere implicaties van AI-gestuurde datarisico’s
Dit incident onderstreept de groeiende risico’s die gepaard gaan met de inzet van AI in klantgerichte rollen. Hoewel bedrijven kostenbesparingen kunnen nastreven door middel van automatisering, moet beveiliging prioriteit krijgen. Carissa Véliz, hoogleraar aan de Universiteit van Oxford, merkt op dat klanten vaak weinig andere keus hebben dan hun gevoelige gegevens aan bedrijven toe te vertrouwen. Ze pleit voor meer transparantie, de mogelijkheid om met menselijke agenten te spreken en de mogelijkheid om helemaal geen opname meer te maken.
Het datalek van Sears herinnert ons eraan dat zelfs gevestigde merken de privacy van klanten in gevaar kunnen brengen door onzorgvuldige AI-implementatie. Het incident onderstreept de behoefte aan robuuste beveiligingsprotocollen en ethische overwegingen bij het integreren van AI in klantinteracties.
