Cisza po drugiej stronie słuchawki. Jak miliony prywatnych nagrań Sears trafiły do sieci
Choć domy towarowe Sears niemal zniknęły z amerykańskiego krajobrazu, marka próbuje odnaleźć się w nowej rzeczywistości dzięki platformie Sears Home Services. Nowoczesność w wydaniu firmy miała twarz – a raczej głos – Samanthy, wirtualnej asystentki opartej na sztucznej inteligencji. Jednak najnowsze doniesienia badacza bezpieczeństwa, Jeremiaha Fowlera, rzucają cień na tę technologiczną transformację. Okazało się, że miliony rozmów z botem były dostępne dla każdego, kto wiedział, gdzie szukać.
Problem nie dotyczył jedynie suchych logów tekstowych. W niezabezpieczonych bazach danych znajdowało się 3,7 miliona zapisów czatów oraz 1,4 miliona plików audio wraz z ich transkrypcjami. Skala wycieku jest porażająca, biorąc pod uwagę, że Sears Home Services obsługuje rocznie około siedmiu milionów napraw, będąc jednym z liderów rynku serwisowego w USA. Dane zawierały kompletne informacje o klientach: nazwiska, adresy zamieszkania, numery telefonów oraz szczegóły dotyczące posiadanych urządzeń i terminów wizyt techników.
Podsłuch w salonie
Najbardziej niepokojącym aspektem znaleziska Fowlera nie są jednak same dane adresowe, lecz charakter nagrań audio. Wiele z nich trwało znacznie dłużej niż standardowa pomoc techniczna – niektóre pliki rejestrowały dźwięki z domów klientów nawet przez cztery godziny. Wygląda na to, że system AI nie zawsze skutecznie kończył połączenie, gdy użytkownik odkładał słuchawkę.
W efekcie w bazie danych zapisały się odgłosy codziennego życia: grające telewizory, prywatne rozmowy domowników i dźwięki w tle. Dla cyberprzestępców takie nagrania to kopalnia złota. Pozwalają nie tylko na precyzyjny phishing oparty na znajomości harmonogramu dnia ofiary, ale również na tworzenie wiarygodnych oszustw związanych z serwisem gwarancyjnym.
Samantha kontra rzeczywistość
Analiza zapisów ujawnia również głęboką frustrację klientów zderzających się z niedoskonałością technologii kAIros, na której oparta jest Samantha. W jednym z logów klient aż 28 razy powtórzył to samo pytanie o status technika, by w końcu zrezygnowany stwierdzić: „Jesteś komputerem. Jesteś komputerem”.
Mimo że boty reklamowane są jako narzędzia zwiększające efektywność, Fowler natrafił na przypadki, w których Samantha aktywnie zniechęcała użytkowników do kontaktu z człowiekiem, twierdząc, że jest „w pełni wyposażona”, by rozwiązać problem szybciej niż żywy agent. Rzeczywistość weryfikowała te obietnice w ciągu kilku minut, gdy asystentka zawieszała się na prostych procedurach i ostatecznie i tak próbowała przekierować rozmowę do konsultanta.
Błąd, którego można było uniknąć
Z punktu widzenia etyki i bezpieczeństwa, incydent ten obciąża właściciela marki – firmę Transformco. Eksperci podkreślają, że dane te nie posiadały najbardziej podstawowych zabezpieczeń, takich jak szyfrowanie czy nawet ochrona hasłem. Choć po interwencji Fowlera bazy zostały szybko zabezpieczone, Transformco odmówiło oficjalnego komentarza w tej sprawie.
Ten przypadek staje się ważnym głosem w debacie nad prywatnością w erze generatywnej sztucznej inteligencji. Jak zauważa Carissa Véliz z Uniwersytetu Oksfordzkiego, klienci często nie mają wyboru i muszą ufać korporacjom przekazującym ich dane systemom AI. Incydent w Sears udowadnia, że pogoń za redukcją kosztów poprzez automatyzację obsługi klienta nie może odbywać się kosztem bezpieczeństwa ich domowej prywatności. W przeciwnym razie nowoczesny asystent staje się niczym więcej niż cyfrowym intruzem.
