Falha grave no site da Centauro expõe dados de clientes

O site da loja Centauro, de itens esportivos, apresentou uma falha grave na tarde de hoje. Qualquer pessoa conseguia acessar as informações de clientes da empresa, desde que soubesse o login do consumidor. Ele poderia ser o email ou o CPF, entre outras possibilidades. A empresa informou ao Tecnoblog que o problema foi corrigido.

Nos nossos testes, conseguimos abrir a conta de pessoas na Centauro e visualizar informações como telefone, endereço, histórico de pedidos, cadastro de cartões e outros métodos de pagamento. Na prática, é como se qualquer internauta pudesse se autenticar no site e agir como se fosse o dono da conta.

A técnica para fazer a consulta dependia de informar o CPF ou outra informação de login. Já no campo de senha, o usuário poderia escrever qualquer coisa, pois o sistema aceitava e realizava a autenticação.

A Centauro inicialmente tirou do ar a página de login, e depois optou por derrubar o site inteiro enquanto trabalhava numa correção.

A loja virtual voltou ao ar durante a noite. A Centauro não divulgou o motivo da falha nem quantos clientes foram impactados. Também não sabemos se a empresa irá entrar em contato com os consumidores cujos dados foram acessados sem autorização.

Cabe lembrar que a Lei Geral de Proteção de Dados (LGPD) estabelece a guarda e proteção das informações dos clientes. Ela também exige transparência ao lidar com situações de vazamentos, invasões e demais situações de crise.

Em nota à imprensa, a empresa destacou seu “compromisso com as melhores práticas em privacidade e segurança da informação, sempre buscando um ambiente seguro e confiável aos nossos colaboradores, clientes e parceiros”.

O relatório financeiro mais recente do Grupo SBF, dono da Centauro, indicou uma alta de 24,5% no faturamento no e-commerce. Já as lojas físicas anotaram expansão de 8%. A empresa registrou receita de R$ 821,4 milhões no primeiro trimestre de 2025.