Sears Home Services, один из крупнейших поставщиков услуг по ремонту бытовой техники в США, оставил миллионы переписок с клиентами общедоступными в интернете на неопределенный срок. Исследователь в области безопасности, Джеремия Фаулер, обнаружил три незащищенные базы данных, содержащие 3,7 миллиона логов чатов, 1,4 миллиона аудиофайлов и соответствующие расшифровки с 2024 года по настоящее время. Эта утечка привела к раскрытию конфиденциальной личной информации, включая имена, адреса, номера телефонов, детали бытовой техники и запланированные визиты.
Утечка данных и реакция
Среди раскрытых данных были взаимодействия с “Самантой”, ИИ-чат-ботом Sears, работающим на технологии “kAIros”. Эти разговоры велись как на английском, так и на испанском языке, что вызвало опасения по поводу практик безопасности Transformco, материнской компании Sears. Фаулер уведомил Transformco в начале февраля, после чего базы данных были защищены, но продолжительность утечки остается неясной. Transformco отказалась комментировать инцидент, несмотря на неоднократные запросы.
Проблемы конфиденциальности, выходящие за рамки логов чатов
Особенно тревожным в этой утечке является характер раскрытых аудиофайлов. Некоторые записи продолжались часами после того, как клиенты считали, что звонки завершились, что привело к захвату частных разговоров и фонового шума. Записи включали разговоры, не связанные с Sears, что свидетельствует о серьезном чрезмерном сборе данных. Потенциал для эксплуатации через фишинговые атаки и мошенничества с гарантией высок, учитывая подробную информацию о клиентах, которая стала доступной.
Разочарование клиентов и опыт работы с ИИ
Логи также показывают частое разочарование клиентов ИИ-чат-ботом. Многие пользователи быстро запрашивали помощь человека, но сталкивались с сопротивлением бота, который настаивал на своей эффективности. В одном случае клиент 28 раз подряд повторял “Где мой техник?”, в то время как другой назвал бота “компьютером” после серии бесполезных ответов. Это подчеркивает проблемы интеграции ИИ в обслуживание клиентов, особенно когда технология не соответствует ожиданиям.
Более широкие последствия рисков, связанных с ИИ
Этот инцидент подчеркивает растущие риски, связанные с развертыванием ИИ в клиентских ролях. В то время как компании могут стремиться к экономии за счет автоматизации, безопасность должна быть приоритетом. Карисса Велиз, профессор Оксфордского университета, отмечает, что клиенты часто не имеют выбора, кроме как доверять компаниям свои конфиденциальные данные. Она выступает за большую прозрачность, возможность поговорить с живым оператором и возможность отказаться от записи в принципе.
Утечка данных Sears служит суровым напоминанием о том, что даже известные бренды могут поставить под угрозу конфиденциальность клиентов из-за беспечной реализации ИИ. Инцидент подчеркивает необходимость надежных протоколов безопасности и этических соображений при интеграции ИИ во взаимодействие с клиентами.
