Firma Sears Home Services, jeden z największych dostawców usług naprawy sprzętu gospodarstwa domowego w Stanach Zjednoczonych, pozostawiła miliony rozmów klientów publicznie dostępnych w Internecie na czas nieokreślony. Badacz bezpieczeństwa Jeremiah Fowler odkrył trzy niezabezpieczone bazy danych zawierające 3,7 miliona dzienników czatów, 1,4 miliona plików audio i odpowiednich transkrypcji od 2024 r. do chwili obecnej. Wyciek ten doprowadził do ujawnienia wrażliwych danych osobowych, w tym nazwisk, adresów, numerów telefonów, części urządzeń i zaplanowanych spotkań.
Wyciek danych i reakcja
Wśród ujawnionych danych znalazły się interakcje z „Samanthą”, chatbotem AI firmy Sears opartym na technologii „kAIros”. Rozmowy te były prowadzone w języku angielskim i hiszpańskim, co wzbudziło obawy dotyczące praktyk bezpieczeństwa stosowanych przez Transformco, spółkę-matkę Sears. Fowler powiadomił Transformco na początku lutego, po czym bazy danych zabezpieczono, ale czas trwania wycieku pozostaje niejasny. Transformco odmówiło komentarza w sprawie incydentu pomimo wielokrotnych próśb.
Problemy z prywatnością wykraczające poza dzienniki czatów
Szczególnie niepokojący w związku z tym wyciekiem jest charakter ujawnionych plików audio. Niektóre nagrania trwały godzinami po tym, jak klienci myśleli, że rozmowy zostały zakończone, co skutkowało przechwytywaniem prywatnych rozmów i hałasu w tle. Nagrania obejmowały rozmowy niezwiązane z firmą Sears, wskazujące na poważne nadmierne gromadzenie danych. Potencjał wykorzystania w drodze ataków typu phishing i oszustw gwarancyjnych jest wysoki, biorąc pod uwagę udostępnione szczegółowe informacje o kliencie.
Frustracja klientów i doświadczenia związane ze sztuczną inteligencją
Dzienniki pokazują również częstą frustrację klientów związaną z chatbotem AI. Wielu użytkowników szybko zwróciło się o pomoc do człowieka, lecz spotkało się z oporem bota, który upierał się przy jego skuteczności. W jednym przypadku klient powtórzył: „Gdzie jest mój technik?” 28 razy z rzędu, a inny nazwał bota „komputerem” po serii nieprzydatnych odpowiedzi. Podkreśla to wyzwania związane z integracją sztucznej inteligencji w obsłudze klienta, zwłaszcza gdy technologia nie spełnia oczekiwań.
Szersze konsekwencje zagrożeń związanych ze sztuczną inteligencją
Ten incydent uwydatnia rosnące ryzyko związane z wdrażaniem sztucznej inteligencji na stanowiskach front-end. Chociaż firmy mogą szukać oszczędności poprzez automatyzację, bezpieczeństwo musi być priorytetem. Carissa Veliz, profesor na Uniwersytecie Oksfordzkim, zauważa, że klienci często nie mają innego wyjścia, jak tylko powierzyć firmom ich wrażliwe dane. Opowiada się za większą przejrzystością, możliwością rozmowy z operatorem na żywo i możliwością całkowitej odmowy nagrywania.
Naruszenie danych Sears stanowi wyraźne przypomnienie, że nawet znane marki mogą narazić prywatność klientów na ryzyko z powodu nieostrożnego wdrożenia sztucznej inteligencji. Incydent uwypuklił potrzebę stosowania solidnych protokołów bezpieczeństwa i względów etycznych przy włączaniu sztucznej inteligencji do interakcji z klientami.
