Sears expôs conversas de clientes com chatbot de IA para todos os usuários da internet

A varejista americana Sears teve um vazamento de dados grave: conversas de clientes com o chatbot de IA corporativo — incluindo gravações de chamadas telefônicas e trocas de mensagens — ficaram abertamente acessíveis na internet. Qualquer pessoa podia visualizá-las sem autorização e sem nenhuma habilidade técnica especial. De acordo com uma investigação da publicação Wired, o que ficou publicamente exposto não eram apenas registros técnicos.

As conversas continham nomes de clientes, informações de contato, endereços de email e detalhes específicos de compras — quando uma compra foi feita, o quê exatamente, e que problemas surgiram. Essa é exatamente a informação que é ouro para fraudadores: conhecendo o nome de uma pessoa, que produto ela comprou e quando entrou em contato com o suporte, um golpista pode construir um cenário convincente de phishing. O esquema de ataque funciona assim: um fraudador liga para um cliente da Sears e se passa por funcionário da empresa.

"Olá, Maria. Estamos ligando sobre seu pedido de geladeira de 12 de abril — há problemas com a entrega". A pessoa não sente nenhuma armadilha: os detalhes batem perfeitamente.

Em seguida, vem uma solicitação para confirmar informações de pagamento, pagar pela "reentrega" ou seguir um link para "confirmar seu endereço". Esse cenário é chamado de phishing direcionado (spear phishing) — funciona ordens de magnitude mais eficaz que envios em massa precisamente porque usa dados pessoais reais da vítima. O incidente da Sears não é um caso isolado, mas um sintoma de um problema sistêmico.

À medida que varejistas, bancos e empresas de serviços implantam em massa chatbots de IA para atendimento ao cliente, o volume de dados pessoais que esses sistemas coletam e armazenam cresce rapidamente. Os chatbots modernos conduzem conversas completas, lembram o contexto de interações anteriores e têm acesso ao histórico de pedidos. Isso os torna ferramentas de suporte úteis — e simultaneamente pontos de falha perigosos quando o armazenamento de dados é configurado incorretamente.

De uma perspectiva de segurança, os registros de conversas com chatbot são particularmente valiosos para atacantes por várias razões. Os clientes se comunicam com bots abertamente — descrevendo problemas com detalhes que não compartilhariam com um estranho. Os dados são estruturados e facilmente processados: nome, data, tipo de solicitação — um perfil pronto para um ataque.

Finalmente, os usuários não esperam que sua correspondência técnica com um bot possa se tornar pública, e não exercem cuidado da forma como fariam ao preencher formulários oficiais. A resposta da Sears ao incidente permanecia desconhecida no momento da publicação. A empresa está passando por tempos difíceis: outrora a maior varejista americana, encolheu para uma pequena rede após anos de dificuldades financeiras e falência em 2018.

Implementar ferramentas de IA para reduzir custos de suporte ao cliente faz sentido lógico em uma estratégia de sobrevivência — mas economizar em segurança de dados se transforma em riscos que poderiam custar significativamente mais. Este caso levanta uma pergunta mais ampla: quão preparadas estão as empresas para implantar responsavelmente sistemas de IA que trabalham com dados sensíveis? A UE já tem a AI Act em vigor com requisitos de avaliação de riscos.

Nos EUA, a FTC persegue consistentemente empresas por proteção inadequada de dados do consumidor — e violações dessa magnitude claramente caem no escopo de seus interesses. Para usuários comuns, a conclusão é simples: uma ligação inesperada que sabe demais sobre suas compras pode não ser uma coincidência, mas uma consequência direta de um vazamento do qual você nunca foi avisado.