Lojas de departamentos Sears desapareceram em grande parte nos Estados Unidos, mas a marca e seu serviço de conserto de eletrodomésticos ainda estão em atividade, com um toque moderno: um Bot de bate-papo com IA e assistente de telefone chamada Samantha. À medida que o retalhista histórico avança para o futuro, novas pesquisas mostram que as conversas que as pessoas tiveram com o chatbot foram expostas publicamente online.
Como a Sears ainda é um nome confiável, mas em grande parte fora dos olhos do público, o pesquisador de segurança Jeremiah Fowler ficou surpreso e alarmado no mês passado. quando ele encontrou três bancos de dados expostos publicamente contendo enormes quantidades de registros de bate-papo, arquivos de áudio e transcrições de texto de áudio que continham detalhes pessoais sobre os clientes da Sears Home Services. A divisão de Serviços Domésticos afirma ser o “maior fornecedor de serviços de reparo de eletrodomésticos” dos EUA e relata que realiza mais de sete milhões de reparos a cada ano.
Os bancos de dados expostos da Sears descobertos por Fowler, que já foram protegidos, continham 3,7 milhões de registros de bate-papo, além de 1,4 milhão de arquivos de áudio e transcrições de texto simples de 2024 até este ano. Fowler descobriu que um arquivo CSV sobre o incidente continha 54.359 registros completos de bate-papo. As conversas que Fowler viu incluíam o chatbot se apresentando como “Samantha, uma agente de voz virtual de IA para Sears Home Services”, com os registros também incluindo o nome da tecnologia de IA da empresa “kAIros.” O cache de dados continha bate-papos em inglês e espanhol e incluía informações pessoais sobre clientes da Sears, como nomes, números de telefone, endereços residenciais, eletrodomésticos de propriedade e informações sobre compromissos de entrega e reparos.
“O que devemos lembrar é que se trata de dados reais de pessoas reais”, diz Fowler, pesquisador da Black Hills Information Security. Embora as empresas possam poupar dinheiro com a implementação da IA, ele enfatiza que é crucial que “não tomem atalhos quando se trata de proteger e proteger esses dados. No mínimo, estes ficheiros deveriam ter sido protegidos por palavra-passe e encriptados”.
Depois de encontrar os bancos de dados acessíveis ao público no início de fevereiro, Fowler enviou um e-mail à equipe da Transformco, empresa proprietária da Sears e da Sears Home Services, e os bancos de dados foram rapidamente protegidos, diz ele. Não está claro por quanto tempo os bancos de dados ficaram expostos online e se alguém além de Fowler os acessou durante esse período. A Transformco não respondeu a vários pedidos de comentários da WIRED sobre a disponibilidade das informações para qualquer pessoa na web.
Fowler diz que quando divulgou a descoberta à Transformco, recebeu uma resposta de alguém que alegou que o estava conectando diretamente com um gerente do Samantha AI Chatbot. Ele diz que aquele indivíduo nunca respondeu a ele, mesmo depois de uma mensagem de acompanhamento.
Quaisquer dados de clientes expostos são problemáticos, mas Fowler estava particularmente preocupado com os dados da Sears por dois motivos. Em primeiro lugar, essas informações seriam extremamente úteis em ataques de phishing, porque incluem detalhes sobre as informações de contacto dos clientes e a vida doméstica, incluindo os seus aparelhos, que poderiam ser explorados para fraudes de garantia e outros alvos.
O segundo choque veio do fato de que um número surpreendente de chamadas de áudio capturou horas de áudio ambiente depois que os clientes aparentemente pensaram que a chamada havia terminado. Algumas das gravações tinham até quatro horas de duração. Não está claro por que os clientes deixaram as chamadas em execução depois de terminarem de falar com o agente da Sears AI, mas essas sessões de gravação estendidas podem ter capturado conversas privadas e detalhes confidenciais que os clientes da Sears pensavam que estavam discutindo em particular durante o dia. “Você podia ouvir a TV ligada, podia ouvir as pessoas conversando e isso gravava tudo”, diz Fowler.
