Sears-warenhuizen zijn grotendeels verdwenen in de Verenigde Staten, maar het merk en de reparatieservice voor apparaten zijn nog steeds actief, compleet met een moderne twist: an AI-chatbot en telefoonassistent genaamd Samantha. Nu de historische retailer de toekomst betreedt, blijkt uit nieuw onderzoek dat gesprekken die mensen met de chatbot voerden, online openbaar werden gemaakt.
Omdat Sears nog steeds een vertrouwde naam is, maar grotendeels buiten de publieke belangstelling, was veiligheidsonderzoeker Jeremiah Fowler vorige maand verrast en gealarmeerd toen hij vond drie openbaar toegankelijke databases met enorme hoeveelheden chatlogboeken, audiobestanden en teksttranscripties van audio die persoonlijke gegevens over klanten van Sears Home Services bevatten. De divisie Thuisservices beweert te zijn de “grootste reparatieservice voor apparaten” in de VS en meldt dat het jaarlijks meer dan zeven miljoen reparaties uitvoert.
De door Fowler blootgelegde Sears-databases, die sindsdien zijn beveiligd, bevatten tussen 2024 en dit jaar 3,7 miljoen chatlogs, plus 1,4 miljoen audiobestanden en transcripties van gewone tekst. Fowler ontdekte dat één CSV-bestand over het incident 54.359 volledige chatlogboeken bevatte. Gesprekken die Fowler zag, waren onder meer de chatbot die zichzelf voorstelde als ‘Samantha, een virtuele AI-stemagent voor Sears Home Services’, waarbij de logs ook de naam van de AI-technologie van het bedrijf bevatten.kAIros.De cache met gegevens bevatte chats in zowel het Engels als het Spaans en bevatte persoonlijke informatie over Sears-klanten, zoals namen, telefoonnummers, thuisadressen, eigendom van apparaten en informatie over bezorgafspraken en reparaties.
“Wat je moet onthouden is dat het echte gegevens van echte mensen zijn”, zegt Fowler, onderzoeker bij Black Hills Information Security. Hoewel bedrijven mogelijk geld kunnen besparen door AI in te zetten, benadrukt hij dat het van cruciaal belang is dat ze “geen sluiproute nemen als het gaat om het beschermen van die gegevens, het beveiligen van die gegevens. Deze bestanden hadden op zijn minst met een wachtwoord moeten worden beveiligd en gecodeerd.”
Nadat hij begin februari de openbaar toegankelijke databases had gevonden, mailde Fowler het personeel van Transformco, het bedrijf dat eigenaar is van Sears en Sears Home Services, en de databases waren snel beveiligd, zegt hij. Het is onduidelijk hoe lang de databases online hebben gestaan en of iemand anders dan Fowler er gedurende die tijd toegang toe heeft gehad. Transformco heeft niet gereageerd op meerdere verzoeken om commentaar van WIRED over de informatie die voor iedereen op internet beschikbaar is.
Fowler zegt dat toen hij de bevindingen aan Transformco bekendmaakte, hij een antwoord ontving van iemand die beweerde dat ze hem rechtstreeks in contact brachten met een Samantha AI Chatbot-manager. Hij zegt dat die persoon hem echter nooit heeft geantwoord, zelfs niet na een vervolgbericht.
Alle blootgestelde klantgegevens zijn problematisch, maar Fowler was om twee redenen bijzonder bezorgd over de Sears-gegevens. Ten eerste zou dergelijke informatie uiterst nuttig zijn bij phishing-aanvallen, omdat deze details bevat over de contactgegevens van klanten en hun privéleven, inclusief hun apparaten, die kunnen worden misbruikt voor oplichting onder garantie en andere vormen van targeting.
De tweede schok kwam voort uit het feit dat bij een verrassend aantal audiogesprekken urenlang omgevingsgeluid werd vastgelegd nadat klanten blijkbaar dachten dat een gesprek was beëindigd. Sommige opnames duurden wel vier uur. Het is onduidelijk waarom klanten de gesprekken lieten lopen nadat ze klaar waren met praten met de Sears AI-agent, maar deze uitgebreide opnamesessies hebben mogelijk privégesprekken en gevoelige details vastgelegd waarvan Sears-klanten dachten dat ze die privé bespraken terwijl ze hun dagen doorbrachten. “Je kon de tv horen spelen, je kon mensen horen praten, en dit nam alles op”, zegt Fowler.
