Grandi magazzini Sears sono in gran parte scomparsi negli Stati Uniti, ma il marchio e il suo servizio di riparazione di elettrodomestici sono ancora in attività, con un tocco moderno: un Chatbot basato sull’intelligenza artificiale e un’assistente telefonica di nome Samantha. Mentre lo storico rivenditore avanza verso il futuro, però, una nuova ricerca mostra che le conversazioni che le persone hanno avuto con il chatbot sono state esposte pubblicamente on-line.
Dato che Sears è ancora un nome affidabile ma in gran parte nascosto agli occhi del pubblico, il ricercatore di sicurezza Jeremiah Fowler è rimasto sorpreso e allarmato il mese scorso quando ha trovato tre database esposti pubblicamente contenenti enormi quantità di registri di chat, file audio e trascrizioni di testi audio che contenevano dettagli personali sui clienti di Sears House Providers. La divisione Servizi per la Casa afferma di essere è il “più grande fornitore di servizi di riparazione di elettrodomestici” degli Stati Uniti e riferisce di eseguire più di sette milioni di riparazioni ogni anno.
I database Sears scoperti da Fowler, che da allora sono stati messi al sicuro, contenevano 3,7 milioni di registri di chat, oltre a 1,4 milioni di file audio e trascrizioni di testo semplice dal 2024 a quest’anno. Fowler ha scoperto che un file CSV sull’incidente conteneva 54.359 registri di chat completi. Le conversazioni che Fowler ha visto includevano il chatbot che si presentava come “Samantha, un agente vocale virtuale AI per Sears House Providers”, con i registri che includevano anche il nome della tecnologia AI dell’azienda “kAIros.La cache di dati conteneva chat sia in inglese che in spagnolo e includeva informazioni personali sui clienti Sears, come nomi, numeri di telefono, indirizzi di casa, elettrodomestici posseduti e informazioni su appuntamenti di consegna e riparazioni.
“La cosa da ricordare è che si tratta di dati reali di persone reali”, afferma Fowler, un ricercatore di Black Hills Info Safety. Sebbene le aziende possano risparmiare denaro implementando l’intelligenza artificiale, sottolinea che è fondamentale che “non prendano scorciatoie quando si tratta di proteggere tali dati. Come minimo, questi file avrebbero dovuto essere protetti da password e crittografati”.
Dopo aver trovato i database accessibili al pubblico all’inizio di febbraio, Fowler ha inviato un’e-mail al personale di Transformco, la società proprietaria di Sears e Sears House Providers, e i database sono stati rapidamente messi al sicuro, cube. Non è chiaro per quanto tempo i database siano rimasti esposti on-line e se qualcun altro oltre a Fowler vi abbia avuto accesso durante quel periodo. Transformco non ha risposto a molteplici richieste di commento da parte di WIRED riguardo alle informazioni disponibili a chiunque sul net.
Fowler afferma che quando ha rivelato la scoperta a Transformco, ha ricevuto una risposta da qualcuno che affermava che lo stavano collegando direttamente con un supervisor di Samantha AI Chatbot. Tuttavia, afferma che quell’individuo non gli ha mai risposto, nemmeno dopo un messaggio di follow-up.
Qualsiasi dato esposto sui clienti è problematico, ma Fowler period particolarmente preoccupato dai dati di Sears per due motivi. Innanzitutto, tali informazioni sarebbero estremamente utili negli attacchi di phishing, perché includono dettagli sulle informazioni di contatto dei clienti e sulla vita domestica, compresi i loro elettrodomestici, che potrebbero essere sfruttati per truffe sulle garanzie e altri attacchi.
Il secondo shock è derivato dal fatto che un numero sorprendente di chiamate audio hanno catturato ore di audio ambientale dopo che i clienti apparentemente pensavano che la chiamata fosse terminata. Alcune registrazioni duravano fino a quattro ore. Non è chiaro il motivo per cui i clienti lasciassero le chiamate in corso una volta finito di parlare con l’agente AI di Sears, ma queste sessioni di registrazione estese potrebbero aver catturato conversazioni non-public e dettagli sensibili di cui i clienti Sears pensavano di discutere in privato nel corso delle loro giornate. “Potevi sentire la TV in riproduzione, potevi sentire le persone che conversavano e questo registrava tutto”, cube Fowler.
