Sears Exposé : Données de clients exposées en ligne via un chatbot IA

Introduction

Les magasins Sears ont largement disparu aux États-Unis, mais la marque et son service de réparation d'appareils sont toujours en activité, avec une touche moderne : un chatbot et un assistant téléphonique IA nommé Samantha. Cependant, des recherches récentes ont révélé que les conversations avec le chatbot ont été exposées en ligne.

Contexte Technique

Le chercheur en sécurité Jeremiah Fowler a découvert trois bases de données exposées publiquement, contenant des journaux de chat, des fichiers audio et des transcriptions de textes d'audio, avec des détails personnels sur les clients de Sears Home Services. Les bases de données exposées contenaient 3,7 millions de journaux de chat, 1,4 million de fichiers audio et des transcriptions de textes d'audio de 2024 à cette année.

Les conversations avec le chatbot incluaient des informations personnelles telles que les noms, les numéros de téléphone, les adresses domicile, les appareils possédés et les informations sur les rendez-vous de livraison et de réparation. Les fichiers audio capturaient parfois des heures de conversations ambiantes après que les clients aient pensé que l'appel était terminé.

Analyse et Implications

L'exposition de ces données est problématique, car elle pourrait être utilisée pour des attaques de phishing ou des escroqueries de garantie. Les clients pourraient être ciblés en fonction de leurs informations de contact et de leur vie personnelle. De plus, les enregistrements audio pourraient avoir capturé des conversations privées et des détails sensibles que les clients pensaient discuter en privé.

Les fichiers montrent également des personnes frustrées par les chatbots défectueux, qui ne répondaient pas aux questions ou les dirigeaient vers des agents de service client humains. Les clients ont exprimé leur mécontentement envers les réponses du chatbot, soulignant la nécessité d'une interaction humaine.

Perspective

L'exposition de ces données souligne les risques de confidentialité, de confiance et de réputation liés à l'utilisation de chatbots pour interagir directement avec les clients. Les entreprises doivent donner aux clients le choix de parler avec un être humain si elles le préfèrent et de ne pas enregistrer leurs conversations. Les clients doivent être en mesure de se sentir en sécurité et à l'aise, plutôt que d'être exploités ou aliénés.