Vulnerabilidade expõe dados sensíveis de usuários

Vulnerabilidade no site da Centauro expõe dados sensíveis de usuários

Uma grave falha de segurança no site da Centauro, uma das maiores varejistas de artigos esportivos do Brasil, colocou em risco os dados pessoais de seus usuários. A vulnerabilidade, descoberta recentemente, permitia que terceiros acessassem informações privadas de clientes autenticados apenas alterando o parâmetro de identificação na URL. Dados como nomes, endereços, CPF e histórico de pedidos ficaram expostos.

A falha é classificada como um caso clássico de insegurança na autorização de sessão, onde a ausência de uma verificação robusta permite que qualquer usuário autenticado visualize registros de outras contas. Esse tipo de brecha é comum quando sistemas não validam corretamente se o usuário tem permissão para acessar determinados dados.

 

Impacto direto na privacidade

A exposição de dados pessoais como CPF e endereço residencial representa uma ameaça concreta à privacidade dos consumidores. Informações desse tipo podem ser utilizadas em ataques de engenharia social, golpes de phishing e fraudes de identidade. Além disso, o histórico de compras pode revelar hábitos de consumo e localização geográfica, o que aumenta o risco em casos de vazamento em larga escala.

 

O que aconteceu?

De acordo com a investigação do Tecnoblog, uma falha de configuração no sistema da Centauro permitia que qualquer pessoa acessasse pedidos de clientes apenas modificando um número na URL. Entre as informações expostas estavam:

  • Nomes completos

  • Endereços de e-mail

  • Endereços residenciais

  • Valores e detalhes de compras

  • Status de entregas

A brecha não exigia conhecimentos avançados de hacking, tornando o risco ainda maior. A Centauro foi notificada e corrigiu o problema, mas o caso levanta preocupações sobre a proteção de dados em grandes varejistas online.

 

Possíveis impactos da exposição de dados

A vulnerabilidade poderia ser explorada por criminosos para:

  • Golpes de phishing: Com e-mails e nomes reais, ataques personalizados se tornam mais convincentes.

  • Fraudes financeiras: Dados de compras podem ser usados para enganar vítimas com falsos problemas no pedido.

  • Ataques de engenharia social: Criminosos podem se passar pela Centauro para obter mais informações ou credenciais.

  • Vazamento em massa: Se coletados, os dados poderiam ser vendidos em fóruns clandestinos.

 

Falhas de segurança e responsabilidade empresarial

O incidente revela problemas comuns em vazamentos de dados:

  • Falta de testes de segurança contínuos – A falha poderia ter sido detectada com auditorias regulares.

  • Excesso de confiança em sistemas legados – Muitas empresas não atualizam suas plataformas conforme novas ameaças surgem.

  • Falta de monitoramento em tempo real – A demora na identificação aumentou o tempo de exposição.

 

Sob a Lei Geral de Proteção de Dados (LGPD), a Centauro pode enfrentar sanções caso se comprove negligência na proteção dos dados.

 

Como os usuários podem se proteger?

Clientes afetados ou preocupados com vazamentos devem:

  • Monitorar e-mails e SMS suspeitos – Desconfiar de mensagens sobre supostos problemas com pedidos.
  • Habilitar autenticação em duas etapas em contas importantes (e-mail, bancos).
  • Alterar senhas caso tenham reutilizado credenciais na Centauro.
  • Verificar extratos bancários para identificar cobranças não autorizadas.

 

Lições para empresas

O caso da Centauro reforça a necessidade de:

  • Investir em segurança proativa, como pentests e bug bounty programs.

  • Adotar princípios de privacidade desde o design (Privacy by Design).

  • Treinar equipes para responder rapidamente a incidentes.

  • Comunicar transparentemente aos usuários em caso de vazamentos.

 

Resposta da empresa e apuração do caso

A Centauro afirmou ter corrigido a falha logo após a notificação, mas o incidente levanta dúvidas sobre os processos de desenvolvimento seguro e testes de vulnerabilidades em ambientes de produção. A Autoridade Nacional de Proteção de Dados (ANPD) pode vir a se manifestar caso a exposição seja considerada uma violação da Lei Geral de Proteção de Dados (LGPD).

 

Conclusão

O caso serve como um alerta importante para empresas de e-commerce e demais negócios digitais: falhas básicas de controle de acesso ainda são recorrentes e potencialmente devastadoras. A implementação de auditorias constantes, testes de penetração e políticas de segurança desde o início do desenvolvimento (Security by Design) é essencial para proteger dados sensíveis dos usuários.

 

Fonte: https://tecnoblog.net/noticias/falha-grave-no-site-da-centauro-expoe-dados-de-usuarios/