- Dados de clientes da Sears Home Services ficaram expostos publicamente, incluindo logs de chat, arquivos de áudio e transcrições de 2024 até este ano.
- Os dados abrangeram 3,7 milhões de logs de chat e 1,4 milhão de arquivos de áudio, com transcrições em inglês e espanhol.
- Informações pessoais presentes nas conversas incluíam nomes, telefones, endereços, eletrodomésticos possuídos e detalhes de entregas e reparos.
- Vídeos e áudios gravavam também conversas ambientas de clientes, com sessões que podiam durar várias horas após o atendimento ter terminado.
- A descoberta foi feita em fevereiro por Jeremiah Fowler, pesquisador de segurança, que informou Transformco, que atualmente não respondeu a pedidos de comentário.
O que aconteceu ocorreu quando bancos de dados públicos da Sears Home Services, a unidade de assistência de eletrodomésticos da rede Sears, foram expostos na web. Registro de conversas com o chatbot AI Samantha, bem como áudios, transcrições e informações pessoais de clientes, ficaram acessíveis por um período não divulgado.
Quem está envolvido envolve a Sears Home Services, Transformco (proprietária da Sears), pesquisadores de segurança e, principalmente, os clientes que tiveram dados expostos. O pesquisador Jeremiah Fowler, da Black Hills Information Security, identificou os bancos de dados em fevereiro e acionou a empresa para que fossem protegidos.
Quando ocorreu a exposição? Os registros apontam que os dados datam de 2024 até o ano em curso, com a descoberta pública no início de fevereiro. A Sears não confirmou há quanto tempo os dados ficaram disponíveis na web nem se terceiros tiveram acesso aos arquivos, segundo apurou a WIRED.
Onde houve a exposição? Os arquivos estavam hospedados em bancos de dados públicos acessíveis pela internet, sem proteção adequada, o que facilitava a leitura de logs de conversas, arquivos de áudio e transcrições de voz, de clientes da Sears Home Services. A empresa afirmou estar em atividade, oferecendo serviços de reparo de eletrodomésticos.
Por que isso é relevante? Os dados incluíam nomes, números de telefone, endereços residenciais, itens de eletrodomésticos possuídos e informações sobre entregas e reparos. Além disso, muitos áudios continham conversas contínuas após a chamada terminar, capturando cenas privadas por horas, o que elevou preocupações sobre privacidade e uso indevido.
Como funcionava o serviço de IA? O sistema utilizava um assistente de voz chamado Samantha, apresentado como uma representante virtual para a Sears Home Services, com referência à tecnologia de IA chamada kAIros. As conversas estavam em inglês e espanhol, revelando detalhes que poderiam facilitar ataques de phishing ou fraudes direcionadas.
Qual foi a resposta da Sears e da Transformco? O pesquisador informou a Transformco, controladora da Sears, e as bases foram rapidamente securizadas após o contato. A empresa não informou publicamente há quanto tempo os dados ficaram expostos nem se houve acesso indevido por terceiros durante esse período.
Quais são os próximos passos recomendados? Especialistas destacam a necessidade de proteção robusta de dados, criptografia e autenticação, principalmente em arquivos que contêm informações sensíveis de clientes. A recomendação inclui oferecer opções de atendimento humano e evitar gravação desnecessária de conversas para reduzir riscos.
Entre na conversa da comunidade