Sears expose 3,7 millions de conversations avec son chatbot IA
Des millions d'échanges entre clients et l'assistant IA de Sears étaient accessibles à tous sur Internet. Noms, adresses, appels audio : tout était ouvert.
Quand on appelle un service client et qu'on tombe sur un robot qui nous répond, on s'attend au minimum à ce que la conversation reste privée. Chez Sears, l'enseigne américaine historique, ce n'était pas le cas.
Un chercheur en sécurité, Jeremiah Fowler, a découvert que trois bases de données contenant les conversations entre les clients et le chatbot IA de Sears étaient accessibles à n'importe qui sur Internet. Pas de mot de passe, pas de protection : tout était ouvert.
On parle de 3,7 millions de conversations écrites avec le chatbot, plus 1,4 million de fichiers audio et leurs retranscriptions. Le tout couvrant la période de 2024 à aujourd'hui.
Le chatbot s'appelle Samantha et c'est un assistant vocal IA qui aide les clients de Sears Home Services pour la réparation d'appareils électroménagers. Sauf que dans ces conversations, les clients donnaient leurs noms, numéros de téléphone, adresses et détails sur leurs rendez-vous de livraison.
Le détail le plus troublant ? Certains appels audio duraient jusqu'à quatre heures. Les clients pensaient avoir raccroché, mais l'enregistrement continuait. Le chercheur a pu entendre des télévisions en bruit de fond, des conversations privées entre membres d'une famille — bref, des heures de vie quotidienne captées sans que personne ne le sache.
On trouve aussi des exemples de clients exaspérés par le chatbot. Dans un échange, un utilisateur répète 28 fois "Où est mon technicien ?" sans obtenir de réponse utile. Dans un autre, quelqu'un lance au robot : "Tu es un ordinateur. Tu es un ordinateur. Tu es un ordinateur."
Après le signalement du chercheur début février, Sears a rapidement sécurisé les bases de données. Mais impossible de savoir pendant combien de temps elles étaient restées ouvertes, ni si quelqu'un d'autre y avait accédé avant lui.
Cette histoire rappelle un point essentiel : quand une entreprise met en place un chatbot IA, elle collecte automatiquement des montagnes de données personnelles. Et si ces données ne sont pas chiffrées et protégées, le risque pour les clients est énorme. Les informations récoltées — noms, adresses, habitudes — sont exactement ce dont les arnaqueurs ont besoin pour monter des attaques de phishing crédibles.
La leçon est claire pour toutes les entreprises qui se ruent vers l'IA pour leur service client : automatiser, c'est bien, mais protéger les données de vos clients devrait être la priorité numéro un.
À lire aussi
Piratage massif : les données de 672 000 clients bancaires vo...
Un groupe de pirates a volé les données personnelles et financières de plus de 672 000 personnes en attaquant Marquis, un prestataire qui travaille avec 74 banques ...
Lazarus compromet Bitrefill : exfiltration de wallets et 18 50...
Le groupe Lazarus a exploité un laptop compromis pour accéder aux hot wallets et à 18 500 records clients de Bitrefill via des credentials legacy.
Des hackers nord-coréens piratent Bitrefill et volent les don...
Le groupe Lazarus, lié à la Corée du Nord, a piraté la plateforme crypto Bitrefill. 18 500 dossiers clients compromis, des wallets vidés.