CEVIU Logo
Voltar

Vazamento Crítico: Dados de Chatbots de IA e Áudios de Varejistas Expostos

Aprofundamento CEVIU

Aprofundamento

Três bancos de dados sem senha expuseram, por tempo indeterminado, 3,7 milhões de logs de chat e 1,4 milhão de gravações de áudio, incluindo até quatro horas contínuas de áudio ambiente doméstico, vinculados à plataforma 'kAIros' e ao agente de voz 'Samantha', usados pela Sears Home Services. Os arquivos continham PII completo: nomes, endereços, números de telefone, e-mails, detalhes de eletrodomésticos e agendamentos. O volume total de áudio atingiu 3,9 TB, com gravações capturando sons de TV, conversas em segundo plano e ruídos residenciais, dados que, sob a LGPD e o Marco Civil da Internet, são tratados como biométricos e exigem proteção reforçada.

O caso não é isolado: 54% dos profissionais de cibersegurança globais relataram incidentes de segurança ligados à IA em 2026, segundo a Check Point. No Brasil, 64% das violações envolvendo IA generativa comprometem dados sensíveis ou regulamentados, e empresas registram em média 223 incidentes mensais desse tipo, o dobro do registrado em 2025. A falta de resposta da Transformco, empresa-mãe da Sears, reforça um padrão crítico: a adoção de IA está se dando sem políticas de governança, auditoria de logs ou controle de ciclo de vida de dados de voz.

Por que isso importa

Esse vazamento mostra que o risco não está só no código ou na API, mas na forma como os dados de interação humana com IA são armazenados, ou melhor, ignorados. Gravações de áudio prolongadas, sem consentimento explícito para retenção ou uso posterior, transformam assistentes virtuais em sensores permanentes de ambientes privados. Para empresas brasileiras, o precedente é direto: usar IA generativa sem mapear fluxos de dados de voz, transcrições e logs viola o artigo 11 da LGPD, que exige finalidade específica, necessidade e minimização. E, com o custo médio de uma violação impulsionada por IA em US$ 5,72 milhões, o preço da negligência já tem valor contábil.

Perguntas frequentes

Quais dados pessoais foram expostos nesse vazamento?

Nomes completos, números de telefone, endereços físicos, e-mails, detalhes de eletrodomésticos instalados e datas de agendamento. Além disso, gravações de áudio capturaram sons ambientais domésticos, classificados como dados biométricos pela ANPD e pela LGPD.

Por que gravações de áudio prolongadas são tão perigosas?

Porque capturam muito além da interação com o assistente: conversas em fundo, vozes de crianças, sons de TV, alarmes e até ruídos de vizinhos. Isso viola o princípio de minimização de dados e pode ser usado para reconhecimento de voz, perfilamento comportamental ou engenharia social.

A empresa responsável respondeu à descoberta?

Não. A Transformco, controladora da Sears Home Services, removeu o acesso aos bancos de dados no dia seguinte à notificação, mas não emitiu comunicado público, não respondeu a pedidos de imprensa e não confirmou se houve análise forense ou notificação aos afetados.

Esse tipo de falha é comum em implementações de IA no Brasil?

Sim. Um relatório de maio de 2026 apontou que 100% das organizações brasileiras monitoradas usam IA generativa, mas 64% das violações envolvem dados sensíveis. Além disso, 2.000 aplicativos gerados por IA no país foram encontrados expondo informações confidenciais, muitos sem sequer autenticação básica.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
18 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser