Toko serba ada Sears memang hampir hilang dari peredaran di Amerika Serikat, namun merek ternama ini beserta layanan perbaikan alat rumah tangganya masih beroperasi, dilengkapi dengan sentuhan modern: sebuah asisten chatbot AI dan telepon bernama Samantha. Namun, saat retailer bersejarah ini melangkah ke masa depan, penelitian baru mengungkap bahwa percakapan publik dengan chatbot-nya ternyata terekspos secara terbuka di internet.
Mengingat Sears masih nama terpercaya meski jarang menjadi sorotan, peneliti keamanan Jeremiah Fowler merasa terkejut dan cemas bulan lalu saat menemukan tiga basis data yang terekspos berisi segudang besar log percakapan, file audio, dan transkrip teks yang memuat rincian pribadi pelanggan Sears Home Services. Divisi Layanan Rumah ini mengklaim sebagai “penyedia layanan perbaikan alat rumah tangga terbesar di AS” dan melaporkan lebih dari tujuh juta perbaikan tiap tahun.
Basis data Sears yang ditemukan Fowler—dan kini telah diamankan—berisi 3,7 juta log percakapan, ditambah 1,4 juta file audio dan transkrip teks dari tahun 2024 hingga kini. Fowler menemukan satu file CSV mengenai insiden itu memuat 54.359 log percakapan lengkap. Percakapan yang dilihatnya termasuk chatbot memperkenalkan diri sebagai “Samantha, agen suara virtual AI untuk Sears Home Services,” dengan log juga menyertakan nama teknologi AI perusahaan “kAIros.” Data yang terpapar mencakup percakapan dalam bahasa Inggris dan Spanyol, serta informasi pribadi pelanggan seperti nama, nomor telepon, alamat rumah, alat yang dimiliki, dan detail janji pengiriman atau perbaikan.
“Yang perlu diingat, ini adalah data nyata dari orang-orang nyata,” ujar Fowler, peneliti dari Black Hills Information Security. Meski perusahaan dapat berhemat dengan menerapkan AI, ia menekankan bahwa sangat krusial untuk “tidak mengambil jalan pintas dalam melindungi dan mengamankan data tersebut. Setidaknya, file-file ini seharusnya dilindungi kata sandi dan dienkripsi.”
Setelah menemukan basis data yang dapat diakses publik pada awal Februari, Fowler mengatakan ia mengirim email kepada staf Transformco—perusahaan pemilik Sears dan Sears Home Services—dan basis data tersebut cepat diamankan. Tidak jelas berapa lama data itu terekspos dan apakah ada pihak lain selain Fowler yang mengaksesnya. Transformco tidak menanggapi beberapa permintaan komentar dari WIRED mengenai ketersediaan informasi ini untuk siapa pun di web.
Fowler menyatakan bahwa saat ia mengungkap temuan ini ke Transformco, ia menerima balasan dari seseorang yang mengklaim akan menghubungkannya langsung dengan manajer Samantha AI Chatbot. Namun, orang tersebut tidak pernah membalas, bahkan setelah pesan tindak lanjut dikirim.
Data pelanggan yang terekspos selalu bermasalah, tapi Fowler khususnya khawatir dengan data Sears karena dua alasan. Pertama, informasi seperti ini sangat berguna untuk serangan phishing, karena mencakup rincian kontak dan kehidupan rumah tangga pelanggan, termasuk peralatan mereka, yang dapat dieksploitasi untuk penipuan garansi atau target serangan lainnya.
Kedua, kekhawatiran muncul dari fakta bahwa sejumlah besar panggilan audio ternyata merekam suara lingkungan selama berjam-jam setelah pelanggan diduga mengira panggilan telah berakhir. Beberapa rekaman bahkan mencapai empat jam. Alasannya tidak jelas, namun sesi perekaman panjang ini mungkin menangkap percakapan pribadi dan detail sensitif yang dikira dibicarakan secara privat oleh pelanggan Sears selama beraktivitas. “Anda bisa mendengar TV menyala, orang sedang bercakap-cakap, dan semua itu terekam,” kata Fowler.