No dia 3 de julho de 2025, uma falha grave no site da Centauro permitiu acesso não autorizado a contas de clientes com senhas aleatórias, expondo informações sensíveis como dados de cartão, endereço e histórico de compras. Em resposta, a empresa optou por derrubar temporariamente o site e aplicativo para correção imediata
A vulnerabilidade permitia que qualquer pessoa acessasse perfis de clientes usando apenas informações básicas como CPF, CNPJ ou e-mail, mesmo sem a senha correta. A exposição incluiu dados de pagamento, endereços e histórico de pedidos
A gigante do varejo eletrônico, controlada pelo Grupo SBF, reconheceu a instabilidade e informou que as falhas foram corrigidas ainda na sexta-feira (3 de julho), volta à normalidade por volta das 18h30. A Centauro reforçou o compromisso com boas práticas de privacidade e segurança da informação
Dica de prevenção
Autenticação robusta: implemente validação de sessão, proteção contra login com credenciais inválidas e limites de tentativas.
Testes contínuos: promova testes de segurança (pentests, fuzzing) para identificar falhas de autenticação e autorização antes do release.
Monitoramento e resposta: adote logs em tempo real, alertas para comportamentos anômalos e planos de contenção imediata.
Transparência e comunicação: notifique clientes rapidamente em caso de incidentes, explicando como se proteger (troca de senhas, monitoramento de movimentações).
A falha no site da Centauro evidencia que até grandes empresas podem ter graves brechas em autenticação. Para evitar esse tipo de incidente, é vital combinar testes regulares, monitoramento proativo e respostas rápidas. Na LC SEC, oferecemos auditoria completa, testes de penetração e serviços de monitoramento contínuo para fortalecer a segurança de plataformas digitais. Proteja sua operação e a confiança dos seus clientes: descubra mais em lcsec.io.