Na tarde de 3 de julho de 2025, uma grave falha no site da Centauro expôs dados sensíveis de seus clientes, permitindo acesso indevido apenas com informações mínimas de login, como CPF, e-mail ou CNPJ.
Relatos nas redes sociais mostraram que era possível acessar contas de terceiros inserindo apenas dados básicos de login, sem precisar da senha. A partir disso, qualquer pessoa podia visualizar dados privados, incluindo cartão de crédito, histórico de compras, endereços e telefone
A falha afetou tanto computadores quanto dispositivos móveis, levando o site Centauro a sair do ar temporariamente por volta de 15h, retornando apenas às 18h30, após aplicar o bloqueio de acesso via WAF. A Centauro declarou que o bug já foi corrigido e que não há previsão de acesso indevido contínuo
Especialistas apontam que o problema decorreu de uma falha lógica na API de autenticação, que liberava tokens de sessão sem verificar senha, efetivamente burlando o fluxo de login seguro
Dica de prevenção
Ative autenticação multifator (MFA) sempre que possível.
Use senhas fortes e únicas, além de gerenciadores de credenciais.
Monitore extratos e notificações de transações suspeitas.
Caso tenha conta na Centauro, troque imediatamente sua senha e revise os dados de cartão salvos.
Empresas devem realizar auditorias regulares de APIs de autenticação e reforçar testes de penetração (pentests).
O incidente com a Centauro revela que mesmo grandes varejistas podem ter vulnerabilidades críticas em seus sistemas de login. Para proteger seus clientes e reputação, é essencial implementar autenticação forte, revisão de APIs e monitoramento constante.
A LC SEC oferece consultoria completa em segurança de aplicações, revisão de código e testes de segurança em API. Evite falhas como esta em sua empresa.
Conheça nossos serviços em lcsec.io