Nos últimos três dias, a varejista Centauro enfrentou uma falha crítica em seu e‑commerce que expôs dados sensíveis de clientes sem a necessidade de autenticação adequada. A vulnerabilidade foi detectada na tarde de quinta‑feira, 3 de julho de 2025, e permitiu que qualquer pessoa, a partir de informações como CPF, CNPJ ou e‑mail, acessasse contas de terceiros usando senhas aleatórias — desde que digitasse corretamente o identificador do cliente.
A falha se manifestou no portal de login da Centauro, onde o sistema aceitou entradas inválidas como se fossem credenciais corretas, mostrando automaticamente nome completo, telefone, e‑mail, endereço, histórico de compras e até dados de pagamento vinculados à conta vulnerável. Além disso, há indícios de que informações de cartão de crédito teriam sido acessíveis — embora a empresa não tenha detalhado se os dígitos completos estavam expostos .
A falha provocou instabilidade no site e no aplicativo da Centauro, levando a varejista a remover a página de login por precaução e posteriormente a derrubar toda a plataforma por alguns horários enquanto a equipe técnica aplicava correções. Às 18h30 (horário de Brasília), a Centauro anunciou que a falha estava resolvida e que os serviços haviam sido totalmente restabelecidos .
Em comunicado oficial, o Grupo SBF, controlador da Centauro, afirmou que implementou correções emergenciais e reforçou os protocolos de privacidade e segurança da informação. A empresa destacou seu “compromisso com as melhores práticas em privacidade e segurança da informação, sempre buscando um ambiente seguro e confiável”. No entanto, reconheceu o impacto e confirmou que tomará medidas para evitar recorrência.
Especialistas em cibersegurança observaram que a falha evidencia fragilidades graves na autenticação de APIs, no tratamento de sessões de login e na validação de credenciais — especialmente em plataformas que centralizam dados pessoais e financeiros de consumidores. Além disso, esse incidente ocorre em um cenário no qual varejistas e bancos têm enfrentado crescentes ameaças: nos últimos dez meses, foram relatados cinco grandes vazamentos no setor.
A ocorrência levanta preocupações relevantes sobre a conformidade com a LGPD (Lei Geral de Proteção de Dados). A exposição involuntária de dados pessoais sem consentimento pode gerar sanções graves, que incluem multas de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração . Ameaças legais não devem ser subestimadas e muitas empresas atingidas em escândalos similares enfrentam ações civis e investigações do Ministério Público.
Enquanto isso, especialistas recomendam aos consumidores que utilizem ferramentas como sites de monitoring de dados pessoais (como “Reclame Aqui” de vazamentos), revisem extratos bancários, observem cobranças inesperadas e alterem senhas mesmo em plataformas não diretamente conectadas à Centauro, como medida de prevenção.
Para o futuro, é essencial que a Centauro invista em testes de invasão (pentests) frequentes, controle de acesso rígido a APIs, revisão de fluxos de autenticação e autenticação multifator (MFA) para acesso administrativo e de clientes sensíveis. Tais medidas são alinhadas às melhores práticas de cibersegurança reconhecidas internacionalmente, como as recomendadas pela NIST e pela ISO 27001.
Em resumo, a falha no site da Centauro representou uma exposição perigosa de dados de clientes, mas foi detectada, bloqueada e corrigida em poucas horas. A grande questão agora é se a empresa fará um acompanhamento rigoroso, emitindo relatórios de impacto, notificando os afetados conforme exigido pela LGPD e ajustando sua infraestrutura para evitar incidentes futuros.