{"id":23947,"date":"2026-02-02T08:00:00","date_gmt":"2026-02-02T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23947"},"modified":"2026-01-26T11:15:36","modified_gmt":"2026-01-26T14:15:36","slug":"ataque-ao-site-da-pague-menos","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2026\/02\/exploits\/ataque-ao-site-da-pague-menos\/","title":{"rendered":"Ataque ao site da Pague Menos"},"content":{"rendered":"\n

Ataque ao site da Pague Menos: Pre\u00e7o fantasma de R$ 1 e fraude via PIX \u2014 Um sinal de alerta para o e-commerce brasileiro<\/strong><\/p>\n

Os ataques cibern\u00e9ticos voltados a plataformas de com\u00e9rcio eletr\u00f4nico t\u00eam se tornado mais sofisticados e frequentes, explorando vulnerabilidades t\u00e9cnicas e lacunas nos procedimentos de seguran\u00e7a digital. Em janeiro de 2026, a rede de farm\u00e1cias Pague Menos<\/strong>, uma das maiores do Brasil, foi alvo de um incidente que exp\u00f4s fragilidades em seu ambiente digital e trouxe \u00e0 tona, mais uma vez, a necessidade de refor\u00e7os cont\u00ednuos de seguran\u00e7a em sistemas de e-commerce.<\/p>\n

\u00a0<\/p>\n

O incidente: O que aconteceu com o site da Pague Menos<\/strong><\/p>\n

Na noite de 22 de janeiro de 2026<\/strong>, usu\u00e1rios que acessaram o site oficial da Pague Menos<\/strong> perceberam comportamentos an\u00f4malos no cat\u00e1logo de produtos. V\u00e1rias ofertas passaram a listar itens com pre\u00e7os extremamente baixos, muitos na casa de R$ 1 ou valores irris\u00f3rios<\/strong> em compara\u00e7\u00e3o aos pre\u00e7os de mercado \u2014 algo que imediatamente despertou aten\u00e7\u00e3o de consumidores e de perfis que monitoram promo\u00e7\u00f5es online.<\/p>\n

Al\u00e9m disso, ao avan\u00e7ar para a etapa de finaliza\u00e7\u00e3o da compra, os usu\u00e1rios eram direcionados a chaves PIX cujo destinat\u00e1rio n\u00e3o pertencia \u00e0 empresa<\/strong>, resultando em potenciais desvios financeiros caso a transa\u00e7\u00e3o fosse conclu\u00edda.<\/p>\n

Esse tipo de comportamento \u2014 combina\u00e7\u00e3o de ofertas fora da realidade e redirecionamento de pagamentos \u2014 sugere o comprometimento da l\u00f3gica de controle de pre\u00e7os e, possivelmente, da funcionalidade de checkout do sistema da loja virtual.<\/p>\n

\u00a0<\/p>\n

Resposta oficial e primeiras avalia\u00e7\u00f5es<\/strong><\/p>\n

Em resposta \u00e0 repercuss\u00e3o nas redes sociais e \u00e0 publica\u00e7\u00e3o de relatos de usu\u00e1rios, a Pague Menos declarou<\/strong> que identificou uma instabilidade pontual no ambiente digital<\/strong>, a qual teria sido rapidamente corrigida pela equipe t\u00e9cnica. A empresa afirmou que essa instabilidade teria reativado itens descontinuados e gerado inconsist\u00eancias na configura\u00e7\u00e3o de pagamentos via PIX, sem mencionar diretamente uma invas\u00e3o hacker confirmada.<\/p>\n

A organiza\u00e7\u00e3o tamb\u00e9m garantiu que clientes impactados est\u00e3o sendo contatados e que seus pedidos seriam entregues ou ressarcidos, reafirmando seu compromisso com a seguran\u00e7a das informa\u00e7\u00f5es e a transpar\u00eancia com o p\u00fablico.<\/p>\n

\u00a0<\/p>\n

Hip\u00f3teses t\u00e9cnicas de comprometimento<\/strong><\/p>\n

Embora a empresa tenha tratado o incidente como uma \u201cinstabilidade pontual\u201d, especialistas em seguran\u00e7a digital destacam que eventos desse tipo geralmente ocorrem por meio de:<\/p>\n

1. Explora\u00e7\u00e3o de vulnerabilidades em sistemas web<\/strong><\/p>\n

Plataformas de e-commerce muitas vezes contam com sistemas de gerenciamento de conte\u00fado (CMS), plugins e m\u00f3dulos de terceiros. Se esses componentes n\u00e3o s\u00e3o atualizados ou configurados corretamente, oferecem portas de entrada para invasores que podem modificar o conte\u00fado do site e a l\u00f3gica de transa\u00e7\u00f5es.<\/p>\n

\u00a0<\/p>\n

2. Manipula\u00e7\u00e3o de par\u00e2metros de checkout<\/strong><\/p>\n

Ataques podem alterar o comportamento do checkout \u2014 por exemplo, interceptar a gera\u00e7\u00e3o de c\u00f3digos de pagamento e substitu\u00ed-los por chaves PIX controladas por terceiros. Esse tipo de interfer\u00eancia \u00e9 comum em fraudes direcionadas a capturar transa\u00e7\u00f5es financeiras dos usu\u00e1rios.<\/p>\n

\u00a0<\/p>\n

3. Inje\u00e7\u00e3o de c\u00f3digo malicioso<\/strong><\/p>\n

Outra possibilidade t\u00e9cnica envolve a inje\u00e7\u00e3o de scripts maliciosos no frontend do site, capazes de alterar valores exibidos, pre\u00e7os e fluxos de pagamento em tempo real para o visitante.<\/p>\n

\u00a0<\/p>\n

Impactos diretos e indiretos<\/strong><\/p>\n

Para os consumidores<\/strong><\/p>\n

Ao se deparar com pre\u00e7os t\u00e3o baixos, muitos usu\u00e1rios podem ser levados pela expectativa de economia, realizando o pagamento sem desconfiar da anomalia. Quando o valor \u00e9 direcionado para um PIX fraudulento, o preju\u00edzo financeiro pode ser imediato, j\u00e1 que as transfer\u00eancias instant\u00e2neas n\u00e3o contam com mecanismos de revers\u00e3o autom\u00e1tica.<\/p>\n

Mesmo consumidores que n\u00e3o finalizam a compra podem ser alvo de golpes secund\u00e1rios, como contatos fraudulentos em nome da empresa, tentativas de phishing ou outras formas de engenharia social.<\/p>\n

\u00a0<\/p>\n

Para a empresa<\/strong><\/p>\n

O impacto para a marca \u00e9 significativo:<\/p>\n