متاجر سيرز اختفت إلى حد كبير في جميع أنحاء الولايات المتحدة، لكن العلامة التجارية وخدمة إصلاح الأجهزة الخاصة بها لا تزال تعمل، مع لمسة عصرية: روبوت محادثة يعمل بالذكاء الاصطناعي ومساعد هاتف يُدعى Samantha. ومع خطوات بائع التجزئة التاريخي نحو المستقبل، تظهر الأبحاث الجديدة أن المحادثات التي أجراها الأشخاص مع برنامج الدردشة الآلي قد تم الكشف عنها علنًا عبر الإنترنت.
نظرًا لأن Sears لا يزال اسمًا موثوقًا به ولكنه بعيدًا عن أعين الجمهور إلى حد كبير، فقد تفاجأ الباحث الأمني Jeremiah Fowler الشهر الماضي عندما وجد ثلاث قواعد بيانات مكشوفة علنًا تحتوي على كميات هائلة من سجلات الدردشة والملفات الصوتية والنسخ النصي للصوت الذي يحتوي على تفاصيل شخصية حول عملاء Sears Home Services. يدعي قسم الخدمات المنزلية أنه “أكبر مزود لخدمات إصلاح الأجهزة” في الولايات المتحدة، ويذكر أنه يقوم بأكثر من سبعة ملايين عملية إصلاح كل عام.
تحتوي قواعد بيانات Sears المكشوفة التي كشف عنها فاولر، والتي تم تأمينها منذ ذلك الحين، على 3.7 مليون سجل محادثة، بالإضافة إلى 1.4 مليون ملف صوتي ونصوص نصية عادية من عام 2024 إلى هذا العام. وجد فاولر أن ملف CSV واحدًا حول الحادث يحتوي على 54359 سجل محادثة كاملاً. تضمنت المحادثات التي شاهدها فاولر برنامج الدردشة الآلي الذي يقدم نفسه باسم “Samantha، وكيل الصوت الافتراضي للذكاء الاصطناعي لشركة Sears Home Services”، مع تضمين السجلات أيضًا اسم تقنية الذكاء الاصطناعي الخاصة بالشركة “kAIros”. احتوت ذاكرة التخزين المؤقت للبيانات على محادثات باللغتين الإنجليزية والإسبانية وتضمنت معلومات شخصية حول عملاء Sears، مثل الأسماء وأرقام الهواتف وعناوين المنازل والأجهزة المملوكة ومعلومات عن مواعيد التسليم والإصلاحات.
يقول فاولر، الباحث في شركة بلاك هيلز لأمن المعلومات: “الشيء الذي يجب أن نتذكره هو أنها بيانات حقيقية لأشخاص حقيقيين”. وفي حين أن الشركات قد تكون قادرة على توفير المال من خلال نشر الذكاء الاصطناعي، فإنه يؤكد على أنه من الأهمية بمكان “ألا تتخذ أي طرق مختصرة عندما يتعلق الأمر بحماية تلك البيانات وتأمينها. وعلى أقل تقدير، ينبغي أن تكون هذه الملفات محمية بكلمة مرور ومشفرة”.
بعد العثور على قواعد البيانات التي يمكن الوصول إليها بشكل عام في بداية شهر فبراير، أرسل فاولر بريدًا إلكترونيًا إلى الموظفين في شركة Transformco، الشركة التي تمتلك Sears and Sears Home Services، وتم تأمين قواعد البيانات بسرعة، كما يقول. ومن غير الواضح كم من الوقت تم الكشف عن قواعد البيانات عبر الإنترنت وما إذا كان أي شخص آخر غير فاولر قد تمكن من الوصول إليها خلال تلك الفترة. لم تستجب شركة Transformco لطلبات متعددة للتعليق من WIRED حول المعلومات المتاحة لأي شخص على الويب.
يقول فاولر إنه عندما كشف عن النتيجة لشركة Transformco، تلقى ردًا من شخص ادعى أنهم كانوا يربطونه مباشرة بمدير Samantha AI Chatbot. ويقول إن هذا الشخص لم يرد عليه أبدًا، حتى بعد رسالة متابعة.
أي بيانات مكشوفة للعملاء تمثل مشكلة، لكن فاولر كان قلقًا بشكل خاص بشأن بيانات سيرز لسببين. أولاً، قد تكون مثل هذه المعلومات مفيدة للغاية في هجمات التصيد الاحتيالي، لأنها تتضمن تفاصيل حول معلومات الاتصال بالعملاء وحياتهم المنزلية، بما في ذلك أجهزتهم، والتي يمكن استغلالها في عمليات الاحتيال المتعلقة بالضمان وغير ذلك من الاستهدافات.
جاءت الصدمة الثانية من حقيقة أن عددًا مفاجئًا من المكالمات الصوتية التقط ساعات من الصوت المحيط بعد أن اعتقد العملاء على ما يبدو أن المكالمة قد انتهت. وصلت مدة بعض التسجيلات إلى أربع ساعات. ليس من الواضح لماذا ترك العملاء المكالمات قيد التشغيل بمجرد الانتهاء من التحدث إلى وكيل Sears AI، لكن جلسات التسجيل الممتدة هذه ربما تكون قد التقطت محادثات خاصة وتفاصيل حساسة اعتقد عملاء Sears أنهم كانوا يناقشونها على انفراد أثناء قضائهم أيامهم. يقول فاولر: “كان بإمكانك سماع تشغيل التلفزيون، ويمكنك سماع الأشخاص وهم يتحدثون، وهذا يسجل كل ذلك”.
