Sears expuso las conversaciones de clientes con chatbot de IA a todos los usuarios de internet
El minorista Sears sufrió una grave filtración de datos: las conversaciones de clientes con el chatbot de IA corporativo — llamadas telefónicas y chats de texto
Американский ритейлер Sears допустил серьёзную утечку данных: разговоры клиентов с корпоративным AI-чатботом — включая записи телефонных звонков и текстовые переписки — оказались в открытом доступе в интернете. Просмотреть их мог любой желающий без авторизации и без каких-либо специальных технических навыков. По данным расследования издания Wired, общедоступными оказались не просто технические логи.
В разговорах содержались имена клиентов, контактные данные, адреса электронной почты и конкретные детали покупок — когда была сделана покупка, что именно, какие возникли проблемы. Именно такая информация является золотым фондом для мошенников: зная имя человека, какой товар он купил и когда обращался в поддержку, злоумышленник может выстроить убедительный фишинговый сценарий. Схема атаки выглядит так: мошенник звонит клиенту Sears и представляется сотрудником компании.
«Здравствуйте, Мария. Мы звоним по поводу вашего заказа холодильника от 12 апреля — возникли проблемы с доставкой». Человек не чувствует подвоха: данные совпадают до деталей.
Дальше следует просьба подтвердить платёжные данные, оплатить «повторную доставку» или перейти по ссылке для «подтверждения адреса». Этот сценарий называется целевым фишингом (spear phishing) — он работает на порядок эффективнее массовых рассылок именно потому, что использует реальные персональные данные жертвы. Инцидент с Sears — не единичный случай, а симптом системной проблемы.
По мере того как ритейлеры, банки и сервисные компании массово внедряют AI-чатботов для обслуживания клиентов, объём персональных данных, которые эти системы собирают и хранят, стремительно растёт. Современные чатботы ведут полноценные диалоги, запоминают контекст предыдущих обращений, имеют доступ к истории заказов. Это делает их полезными инструментами поддержки — и одновременно опасными точками риска при неправильной настройке хранения данных.
С точки зрения безопасности, логи разговоров с чатботами представляют особую ценность для злоумышленников по нескольким причинам. Клиенты общаются с ботами откровенно — описывают проблемы с деталями, которые не стали бы сообщать незнакомцу. Данные структурированы и легко обрабатываются: имя, дата, тип обращения — готовый профиль для атаки.
Наконец, пользователи не ожидают, что их техническая переписка с ботом может оказаться публичной, и не осторожничают так, как при заполнении официальных форм. Реакция Sears на инцидент на момент выхода публикации оставалась неизвестной. Компания переживает не лучшие времена: некогда крупнейший американский ритейлер сократился до небольшой сети после многолетних финансовых трудностей и банкротства в 2018 году.
Внедрение AI-инструментов для снижения затрат на поддержку логично вписывается в стратегию выживания — но экономия на безопасности данных оборачивается рисками, которые могут обойтись значительно дороже. Этот случай ставит более широкий вопрос: насколько компании готовы к ответственному развёртыванию AI-систем, работающих с чувствительными данными? В ЕС уже действует AI Act с требованиями по оценке рисков.
В США FTC последовательно преследует компании за ненадлежащую защиту потребительских данных — и утечки такого масштаба явно находятся в поле её интересов. Для рядовых пользователей вывод прост: неожиданный звонок, который знает слишком много о ваших покупках, может быть не совпадением, а прямым следствием утечки, о которой вас никто не предупредил.