Obchodní domy Sears z velké části zmizely po celých Spojených státech, ale značka a její opravárenské služby jsou stále v provozu, doplněné moderním obratem: AI chatbot a telefonní asistentka jménem Samantha. Když však historický maloobchodník vkročí do budoucnosti, nový výzkum ukazuje, že konverzace lidí s chatbotem byly veřejně odhaleny online.
Vzhledem k tomu, že Sears je stále důvěryhodné jméno, ale z velké části mimo oči veřejnosti, byl bezpečnostní výzkumník Jeremiah Fowler minulý měsíc překvapen a znepokojen, když našel tři veřejně přístupné databáze obsahující obrovské množství protokolů chatů, zvukových souborů a textových přepisů zvuku, které obsahovaly osobní údaje o zákaznících Sears Home Services. Divize Home Services se prohlašuje za „největšího poskytovatele opravárenských služeb v USA“ a uvádí, že každý rok provede více než sedm milionů oprav.
Odkryté databáze Sears odkryté Fowlerem, které byly mezitím zabezpečeny, obsahovaly 3,7 milionu chat logů plus 1,4 milionu zvukových souborů a přepisů prostého textu od roku 2024 do letošního roku. Fowler zjistil, že jeden soubor CSV o incidentu obsahoval 54 359 úplných protokolů chatu. Konverzace, které Fowler viděl, zahrnovaly chatbota, který se představil jako „Samantha, virtuální hlasová agentka AI pro Sears Home Services“, přičemž protokoly také obsahovaly název technologie AI společnosti „kAIros“. Mezipaměť dat obsahovala chaty v angličtině i španělštině a obsahovala osobní informace o zákaznících Sears, jako jsou jména, telefonní čísla, adresy domů, vlastněné spotřebiče a informace o termínech dodání a opravách.
„Je třeba si zapamatovat, že jde o skutečná data skutečných lidí,“ říká Fowler, výzkumník z Black Hills Information Security. I když mohou být společnosti schopny ušetřit peníze nasazením AI, zdůrazňuje, že je zásadní, aby „neužívaly žádné zkratky, pokud jde o ochranu těchto dat, zabezpečení těchto dat. Tyto soubory by měly být minimálně chráněny heslem a šifrovány.“
Po nalezení veřejně přístupných databází na začátku února Fowler poslal e-mail zaměstnancům společnosti Transformco, která vlastní Sears a Sears Home Services, a databáze byly rychle zabezpečeny, říká. Není jasné, jak dlouho byly databáze vystaveny online a zda k nim během té doby přistupoval někdo jiný než Fowler. Společnost Transformco nereagovala na několik žádostí o komentář od WIRED ohledně informací, které jsou dostupné komukoli na webu.
Fowler říká, že když prozradil nález společnosti Transformco, dostal odpověď od někoho, kdo tvrdil, že ho spojují přímo s manažerem chatbota Samantha AI. Říká, že jednotlivec mu nikdy neodpověděl, a to ani po následné zprávě.
Jakékoli vystavené údaje o zákaznících jsou problematické, ale Fowler byl o data Sears obzvláště znepokojen ze dvou důvodů. Za prvé, takové informace by byly extrémně užitečné při phishingových útocích, protože obsahují podrobnosti o kontaktních údajích zákazníků a životě v domácnosti, včetně jejich zařízení, které by mohly být zneužity k podvodům se zárukou a dalšímu cílení.
Druhý šok přišel ze skutečnosti, že překvapivý počet zvukových hovorů zachytil hodiny okolního zvuku poté, co si zákazníci zřejmě mysleli, že hovor skončil. Některé nahrávky byly dlouhé až čtyři hodiny. Není jasné, proč zákazníci nechali hovory spuštěné, jakmile skončili s mluvením s agentem Sears AI, ale tyto prodloužené záznamové relace mohly zachytit soukromé rozhovory a citlivé detaily, o kterých si zákazníci Sears mysleli, že je probírají soukromě, když chodili po svých dnech. „Slyšeli jste, jak hraje televize, slyšeli jste lidi, jak konverzují, a tohle všechno to nahrálo,“ říká Fowler.
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
