{"id":22660,"date":"2025-07-08T11:47:27","date_gmt":"2025-07-08T14:47:27","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=22660"},"modified":"2025-07-08T11:47:28","modified_gmt":"2025-07-08T14:47:28","slug":"vulnerabilidade-expoe-dados-sensiveis-de-usuarios","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/07\/basico\/vulnerabilidade-expoe-dados-sensiveis-de-usuarios\/","title":{"rendered":"Vulnerabilidade exp\u00f5e dados sens\u00edveis de usu\u00e1rios"},"content":{"rendered":"\n<p data-start=\"0\" data-end=\"73\"><strong data-start=\"0\" data-end=\"73\">Vulnerabilidade no site da Centauro exp\u00f5e dados sens\u00edveis de usu\u00e1rios<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"75\" data-end=\"489\">Uma grave falha de seguran\u00e7a no site da Centauro, uma das maiores varejistas de artigos esportivos do Brasil, colocou em risco os dados pessoais de seus usu\u00e1rios. A vulnerabilidade, descoberta recentemente, permitia que terceiros acessassem informa\u00e7\u00f5es privadas de clientes autenticados apenas alterando o par\u00e2metro de identifica\u00e7\u00e3o na URL. Dados como nomes, endere\u00e7os, CPF e hist\u00f3rico de pedidos ficaram expostos.<\/p>\n<p style=\"text-align: justify;\" data-start=\"491\" data-end=\"831\">A falha \u00e9 classificada como um caso cl\u00e1ssico de <strong data-start=\"539\" data-end=\"579\">inseguran\u00e7a na autoriza\u00e7\u00e3o de sess\u00e3o<\/strong>, onde a aus\u00eancia de uma verifica\u00e7\u00e3o robusta permite que qualquer usu\u00e1rio autenticado visualize registros de outras contas. Esse tipo de brecha \u00e9 comum quando sistemas n\u00e3o validam corretamente se o usu\u00e1rio tem permiss\u00e3o para acessar determinados dados.<\/p>\n<p data-start=\"491\" data-end=\"831\">\u00a0<\/p>\n<p data-start=\"833\" data-end=\"866\"><strong data-start=\"833\" data-end=\"866\">Impacto direto na privacidade<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"868\" data-end=\"1267\">A exposi\u00e7\u00e3o de dados pessoais como CPF e endere\u00e7o residencial representa uma amea\u00e7a concreta \u00e0 privacidade dos consumidores. Informa\u00e7\u00f5es desse tipo podem ser utilizadas em ataques de engenharia social, golpes de phishing e fraudes de identidade. Al\u00e9m disso, o hist\u00f3rico de compras pode revelar h\u00e1bitos de consumo e localiza\u00e7\u00e3o geogr\u00e1fica, o que aumenta o risco em casos de vazamento em larga escala.<\/p>\n<p data-start=\"868\" data-end=\"1267\">\u00a0<\/p>\n<p><strong>O que aconteceu?<\/strong><\/p>\n<p class=\"ds-markdown-paragraph\">De acordo com a investiga\u00e7\u00e3o do\u00a0<em>Tecnoblog<\/em>, uma falha de configura\u00e7\u00e3o no sistema da Centauro permitia que qualquer pessoa acessasse pedidos de clientes apenas modificando um n\u00famero na URL. Entre as informa\u00e7\u00f5es expostas estavam:<\/p>\n<ul>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Nomes completos<\/strong><\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Endere\u00e7os de e-mail<\/strong><\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Endere\u00e7os residenciais<\/strong><\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Valores e detalhes de compras<\/strong><\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Status de entregas<\/strong><\/p>\n<\/li>\n<\/ul>\n<p class=\"ds-markdown-paragraph\" style=\"text-align: justify;\">A brecha n\u00e3o exigia conhecimentos avan\u00e7ados de hacking, tornando o risco ainda maior. A Centauro foi notificada e corrigiu o problema, mas o caso levanta preocupa\u00e7\u00f5es sobre a prote\u00e7\u00e3o de dados em grandes varejistas online.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Poss\u00edveis impactos da exposi\u00e7\u00e3o de dados<\/strong><\/p>\n<p class=\"ds-markdown-paragraph\">A vulnerabilidade poderia ser explorada por criminosos para:<\/p>\n<ul>\n<li>\n<p class=\"ds-markdown-paragraph\" style=\"text-align: justify;\"><strong>Golpes de phishing:<\/strong>\u00a0Com e-mails e nomes reais, ataques personalizados se tornam mais convincentes.<\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\" style=\"text-align: justify;\"><strong>Fraudes financeiras:<\/strong>\u00a0Dados de compras podem ser usados para enganar v\u00edtimas com falsos problemas no pedido.<\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\" style=\"text-align: justify;\"><strong>Ataques de engenharia social:<\/strong>\u00a0Criminosos podem se passar pela Centauro para obter mais informa\u00e7\u00f5es ou credenciais.<\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Vazamento em massa:<\/strong>\u00a0Se coletados, os dados poderiam ser vendidos em f\u00f3runs clandestinos.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Falhas de seguran\u00e7a e responsabilidade empresarial<\/strong><\/p>\n<p class=\"ds-markdown-paragraph\">O incidente revela problemas comuns em vazamentos de dados:<\/p>\n<ul>\n<li>\n<p class=\"ds-markdown-paragraph\" style=\"text-align: justify;\"><strong>Falta de testes de seguran\u00e7a cont\u00ednuos<\/strong>\u00a0\u2013 A falha poderia ter sido detectada com auditorias regulares.<\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\" style=\"text-align: justify;\"><strong>Excesso de confian\u00e7a em sistemas legados<\/strong>\u00a0\u2013 Muitas empresas n\u00e3o atualizam suas plataformas conforme novas amea\u00e7as surgem.<\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\" style=\"text-align: justify;\"><strong>Falta de monitoramento em tempo real<\/strong>\u00a0\u2013 A demora na identifica\u00e7\u00e3o aumentou o tempo de exposi\u00e7\u00e3o.<\/p>\n<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p class=\"ds-markdown-paragraph\" style=\"text-align: justify;\">Sob a\u00a0<strong>Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD)<\/strong>, a Centauro pode enfrentar san\u00e7\u00f5es caso se comprove neglig\u00eancia na prote\u00e7\u00e3o dos dados.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Como os usu\u00e1rios podem se proteger?<\/strong><\/p>\n<p class=\"ds-markdown-paragraph\">Clientes afetados ou preocupados com vazamentos devem:<\/p>\n<ul>\n<li class=\"ds-markdown-paragraph\"><strong>Monitorar e-mails e SMS suspeitos<\/strong>\u00a0\u2013 Desconfiar de mensagens sobre supostos problemas com pedidos.<\/li>\n<li class=\"ds-markdown-paragraph\"><strong>Habilitar autentica\u00e7\u00e3o em duas etapas<\/strong>\u00a0em contas importantes (e-mail, bancos).<\/li>\n<li class=\"ds-markdown-paragraph\"><strong>Alterar senhas<\/strong>\u00a0caso tenham reutilizado credenciais na Centauro.<\/li>\n<li class=\"ds-markdown-paragraph\"><strong>Verificar extratos banc\u00e1rios<\/strong>\u00a0para identificar cobran\u00e7as n\u00e3o autorizadas.<\/li>\n<\/ul>\n<p>\u00a0<\/p>\n<p><strong>Li\u00e7\u00f5es para empresas<\/strong><\/p>\n<p class=\"ds-markdown-paragraph\">O caso da Centauro refor\u00e7a a necessidade de:<\/p>\n<ul>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Investir em seguran\u00e7a proativa<\/strong>, como pentests e bug bounty programs.<\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Adotar princ\u00edpios de privacidade desde o design (Privacy by Design)<\/strong>.<\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Treinar equipes<\/strong>\u00a0para responder rapidamente a incidentes.<\/p>\n<\/li>\n<li>\n<p class=\"ds-markdown-paragraph\"><strong>Comunicar transparentemente<\/strong>\u00a0aos usu\u00e1rios em caso de vazamentos.<\/p>\n<\/li>\n<\/ul>\n<p data-start=\"868\" data-end=\"1267\">\u00a0<\/p>\n<p data-start=\"1269\" data-end=\"1311\"><strong data-start=\"1269\" data-end=\"1311\">Resposta da empresa e apura\u00e7\u00e3o do caso<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"1313\" data-end=\"1674\">A Centauro afirmou ter corrigido a falha logo ap\u00f3s a notifica\u00e7\u00e3o, mas o incidente levanta d\u00favidas sobre os processos de desenvolvimento seguro e testes de vulnerabilidades em ambientes de produ\u00e7\u00e3o. A Autoridade Nacional de Prote\u00e7\u00e3o de Dados (ANPD) pode vir a se manifestar caso a exposi\u00e7\u00e3o seja considerada uma viola\u00e7\u00e3o da Lei Geral de Prote\u00e7\u00e3o de Dados (LGPD).<\/p>\n<p data-start=\"1313\" data-end=\"1674\">\u00a0<\/p>\n<p data-start=\"1676\" data-end=\"1689\"><strong data-start=\"1676\" data-end=\"1689\">Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\" data-start=\"1691\" data-end=\"2074\">O caso serve como um alerta importante para empresas de e-commerce e demais neg\u00f3cios digitais: falhas b\u00e1sicas de controle de acesso ainda s\u00e3o recorrentes e potencialmente devastadoras. A implementa\u00e7\u00e3o de auditorias constantes, testes de penetra\u00e7\u00e3o e pol\u00edticas de seguran\u00e7a desde o in\u00edcio do desenvolvimento (Security by Design) \u00e9 essencial para proteger dados sens\u00edveis dos usu\u00e1rios.<\/p>\n<p data-start=\"1691\" data-end=\"2074\">\u00a0<\/p>\n<p data-start=\"1691\" data-end=\"2074\">Fonte: <a href=\"https:\/\/tecnoblog.net\/noticias\/falha-grave-no-site-da-centauro-expoe-dados-de-usuarios\/\" target=\"_blank\" rel=\"noopener\">https:\/\/tecnoblog.net\/noticias\/falha-grave-no-site-da-centauro-expoe-dados-de-usuarios\/<\/a><\/p>\n\n\n\n\n","protected":false},"excerpt":{"rendered":"<p>Vulnerabilidade no site da Centauro exp\u00f5e dados sens\u00edveis de usu\u00e1rios Uma grave falha de seguran\u00e7a no site da Centauro, uma das maiores varejistas de artigos esportivos do Brasil, colocou em risco os dados pessoais de seus usu\u00e1rios. A vulnerabilidade, descoberta recentemente, permitia que terceiros acessassem informa\u00e7\u00f5es privadas de clientes autenticados apenas alterando o par\u00e2metro de [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":22664,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,105],"tags":[],"class_list":["post-22660","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22660","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=22660"}],"version-history":[{"count":3,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22660\/revisions"}],"predecessor-version":[{"id":22663,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/22660\/revisions\/22663"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/22664"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=22660"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=22660"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=22660"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}