Qualquer pessoa podia acessar contas apenas com e-mail ou CPF; cartões, endereços e histórico de compras ficaram visíveis
O site da Centauro, rede varejista de artigos esportivos, enfrentou uma falha crítica na segurança nesta quinta-feira (4). Durante parte da tarde, qualquer usuário que inserisse um e-mail ou CPF válido conseguia acessar perfis de clientes, mesmo sem digitar a senha correta. A empresa confirmou que o erro já foi corrigido.
Nos testes realizados pela equipe do site, foi possível visualizar dados pessoais de consumidores, como número de telefone, endereço completo, histórico de pedidos e informações de pagamento, incluindo cartões cadastrados. Na prática, era possível se passar por outro cliente apenas conhecendo sua informação de login.
O acesso indevido era permitido mesmo com senhas aleatórias. Bastava informar um dado válido de entrada, como o CPF, e preencher o campo de senha com qualquer valor. O sistema autenticava o usuário mesmo assim.
Ao identificar o problema, a Centauro primeiramente desativou a página de login. Em seguida, retirou completamente o site do ar para implementar a correção.
O portal voltou a funcionar à noite, mas a empresa não detalhou as causas da falha, nem informou quantos consumidores foram afetados. Também não há confirmação se os clientes que tiveram seus dados expostos serão comunicados.
Vale destacar que a Lei Geral de Proteção de Dados (LGPD) exige que empresas resguardem as informações pessoais dos usuários, além de estabelecer protocolos de transparência e comunicação em casos de incidentes de segurança.
Em nota, a Centauro afirmou manter o “compromisso com as melhores práticas de privacidade e segurança da informação, visando sempre um ambiente seguro e confiável para colaboradores, consumidores e parceiros”.
Segundo o relatório financeiro mais recente do Grupo SBF, controlador da Centauro, o e-commerce da marca registrou crescimento de 24,5% no faturamento. Já as unidades físicas apresentaram alta de 8%, resultando em uma receita total de R$ 821,4 milhões no primeiro trimestre de 2025.
