- Conversas com o assistente de IA da Sears Home Services ficaram expostas publicamente, incluindo logs de chat, arquivos de áudio e transcrições.
- No total, houve mais de três milhões de logs de chat, mais de um milhão e quatrocentos mil arquivos de áudio e transcrições, além de um CSV com cinquenta e quatro mil trezentos e cinquenta e nove logs de chat.
- Os registros continham informações pessoais como nomes, telefones, endereços, aparelhos possuídos e dados de entregas e reparos, em inglês e espanhol.
- Os dados ficaram acessíveis até fevereiro e foram rapidamente protegidos após notificação à Transformco; não houve confirmação de uso por terceiros.
- Também foram registradas longas sessões de áudio com ruídos ambientes, levantando preocupações sobre privacidade e risco de phishing; a Sears não comentou o ocorrido.
Dois conjuntos de dados públicos expõem conversas entre clientes da Sears Home Services e um chatbot de IA, juntamente com trechos de áudio e transcrições. Os arquivos incluíam informações pessoais de clientes, como nomes, telefones, endereços e dados de entregas e reparos. A falha foi descoberta no início de fevereiro por um pesquisador de segurança.
O pesquisador Jeremiah Fowler, da Black Hills Information Security, encontrou bancos de dados com 3,7 milhões de log de chats, 1,4 milhão de arquivos de áudio e transcrições em texto, veiculados de 2024 até este ano. O material estava acessível publicamente na web, sem proteção adequada.
Os logs revelam que o chatbot era apresentado como Samantha, uma agente de voz virtual da Sears Home Services, operando com a tecnologia kAIros. Os registros estavam em inglês e espanhol e continham informações de contato, dados de residências, aparelhos e agendamentos de entrega e reparo.
O que estava exposto e por quê
A divulgação pode facilitar ataques de phishing e fraudes, já que envolve detalhes sensíveis dos clientes. Além disso, parte dos áudios capturou horas de conversa ambiente após o suposto término da chamada, incluindo ruídos de TV e falas privadas.
Fowler relatou que, em dois minutos de uma chamada de 76 minutos, o usuário pediu falar com um atendente humano, mas o bot se ofereceu para resolver o problema de imediato. Em outra transcrição, o cliente repetia várias vezes a pergunta sobre o paradeiro do técnico, sem obter respostas satisfatórias.
Transformco, dona da Sears e da Sears Home Services, foi contatada pelo pesquisador, que informou ter recebido uma resposta encaminhando-o a um gerente do Samantha AI, mas não houve retorno. A empresa não respondeu a solicitações de comentário feitas pela WIRED.
Implicações e consequências
Especialistas destacam riscos de privacidade, reputação e confiança ao inserir IA no atendimento ao cliente. Pesquisadores indicam a necessidade de criptografia, proteção por senha e controles de gravação para evitar exposições futuras. A Sears afirma ser uma das maiores prestadoras de reparos de eletrodomésticos nos EUA.
Especialistas ressaltam que clientes devem ter opções claras: falar com um ser humano ou com IA, com a decisão de não ter conversas gravadas. Em relatos de especialistas, a transparência e a proteção de dados são cruciais para manter a confiança dos usuários.
Entre na conversa da comunidade