Vazamento de Dados na Centauro: Entenda a Falha de Login e Fortaleça sua Governança Cibernética

Introdução

Em meados de julho de 2025, a Centauro — uma das maiores redes de varejo de artigos esportivos do país — enfrentou um incidente de segurança que expôs os dados pessoais de milhões de clientes. Ao tentar fazer login, bastava inserir um e-mail ou CPF que, sem qualquer validação adicional, o sistema retornava informações completas da conta. Telefones, endereços, histórico de compras e detalhes de parcelamento ficaram disponíveis a quem quisesse varrer CPFs em massa. A falha ganhou repercussão em portais como Tecnoblog e Seu Dinheiro, que denunciaram a simplicidade do ataque e os riscos imediatos de fraude e roubo de identidade.

Esse episódio evidencia como um erro de autorização — classificado pela OWASP como Insecure Direct Object Reference (IDOR) — pode criar um vazamento em larga escala. Mais do que expor dados, ele abalou a reputação da Centauro, gerou movimento de consumidores nas redes sociais sob a hashtag #CentauroVazou e levou órgãos de defesa do consumidor e a ANPD a acompanhar cada passo da investigação. Ao mesmo tempo, a resposta emergencial da empresa mostrou a importância de playbooks de incidentes e de um programa robusto de governança cibernética, alinhado a frameworks como NIST, ISO/IEC 27001 e CIS Controls.

A vulnerabilidade de autenticação

O processo de login da Centauro era simples: o usuário informava seu e-mail ou CPF e, sem precisar inserir senha válida, recebia um “token” de acesso. Em linguagem leiga, era como entrar em um prédio apenas dizendo o número do apartamento, sem checar se você carregava a chave ou o crachá. Tecnicamente, a API não validava credenciais nem originava sessão autenticada antes de entregar dados sensíveis.

Pesquisadores relataram que bastava alterar um parâmetro na URL de requisição — por exemplo, mudar userId=12345 para userId=54321 — para visualizar outra conta. Essa brecha de IDOR permitiu que scripts automatizados varressem milhares de CPFs por segundo. Além disso, não havia bloqueio de tentativas falhas ou CAPTCHA para dificultar ataques em massa, nem exigência de autenticação multifator (MFA) ou verificação de dispositivo. O sistema aceitava qualquer valor no campo de senha, tornando desnecessária a posse da verdadeira credencial.

Linha do tempo da detecção e resposta

Por volta das 15h do dia 3 de julho de 2025, a equipe de segurança da Centauro notou picos atípicos de requisições ao endpoint de autenticação. O SIEM (Security Information and Event Management) disparou alertas de tráfego em massa. Inicialmente, o time de TI removeu apenas a página de login vulnerável, mas scripts continuaram tentando acesso via API. Posteriormente, às 17h30, o site e o aplicativo foram completamente tirados do ar para correção.

Dentro de poucas horas, desenvolvedores criaram um patch emergencial que passou a exigir um token de sessão válido e implementou a primeira camada de verificação de origem. Às 18h30, o serviço foi gradualmente restabelecido. Nas 72 horas seguintes, a Centauro seguiu um plano de ação em três frentes: análise forense de logs para identificar contas acessadas, reforço da autenticação com MFA por e-mail e bloqueio de sessões simultâneas em IPs diferentes, e comunicação direta via SMS e e-mail orientando a troca de senhas e o monitoramento de transações.

O Grupo SBF, controlador da Centauro, publicou nota oficial reafirmando seu compromisso com a privacidade e informou ter concluído as correções e as análises iniciais em até 72 horas. A postura transparente ajudou a mitigar o risco de sanções mais severas por parte da ANPD e do Procon, que acompanharam de perto o caso.

Impactos operacionais, financeiros e reputacionais

Estima-se que até 2,5 milhões de contas tenham ficado suscetíveis ao acesso indevido durante o período de vulnerabilidade. Nos canais de atendimento, houve aumento de 120% no volume de reclamações relacionadas a cobranças indevidas e pedidos de estorno. Internamente, o SAC precisou reforçar equipes para dar suporte individualizado às vítimas.

No mercado financeiro, as ações da SBF3 subiram 3,7% nos dias seguintes ao incidente, tendo o mercado precificado a rápida resposta ao incidente, mas as redes sociais foram tomadas por críticas. Pesquisas de opinião indicam que mais de 60% dos consumidores repensam suas compras em lojas que sofrem falhas de segurança. A crise interrompeu novos cadastros e impactou o ticket médio: nas duas semanas seguintes, houve queda de até 8% nas vendas online.

Além das perdas diretas, a Centauro passou a ser alvo de processos no Procon e recebeu notificações da ANPD. Pela LGPD, a empresa deveria ter comunicado diretamente todos os titulares afetados — o que não ocorreu automaticamente — violando o artigo 48, que exige notificação individual em casos de incidente grave. A ANPD pode aplicar multas de até 2% do faturamento anual, limitadas a R$ 50 milhões por infração, considerando postura colaborativa e velocidade de resposta.

Obrigações legais e resposta regulatória

A Lei Geral de Proteção de Dados (LGPD) exige que empresas notifiquem incidentes com risco significativo aos titulares em até 72 horas. A Centauro, ao adotar postura colaborativa, enviou relatórios de progresso à ANPD e ao Procon, demonstrando diligência na correção e na investigação. No entanto, a omissão inicial de dados quantitativos — número total de contas afetadas — foi criticada por especialistas como falha de transparência.

Sob a ótica regulatória, o evento reforça a necessidade de processos internos de resposta a incidentes bem definidos, com playbooks que incluam comunicação imediata a autoridades, coleta de evidências e plano de mitigação. O não cumprimento das exigências da LGPD não apenas gera multas, mas expõe executivos a responsabilização administrativa e civil.

Lições de governança cibernéticas aprendidas

O caso Centauro demonstra que medidas de segurança não podem ser pontuais. A validação de identidade deve incluir, no mínimo, autenticação multifator (MFA) e verificação de dispositivo, impedindo ingresso apenas com dados estáticos. Além disso, a prática de “Shift Left” recomenda implementar testes de penetração e revisão de código desde as fases iniciais do desenvolvimento, automatizando exames de IDOR, injeção de SQL e controles de acesso.

Gestão de fornecedores também deve ser criteriosa. Contratos precisam exigir auditorias independentes, revisões regulares de segurança e penalidades claras em caso de não conformidade. Dashboards de monitoramento em tempo real devem exibir indicadores-chave, como volume de requisições por minuto e padrão geográfico de acessos, permitindo respostas automáticas — bloqueio de IPs suspeitos e obfuscação de dados — antes que ocorra grande exposição.

É igualmente importante adotar soluções de deteção e resposta (EDR/XDR) e antivírus com módulo anti-spyware, configurados para varreduras semanais e atualização diária de definições. A remoção imediata de dados de pagamento salvos, a troca de senhas reutilizadas e a ativação de alertas de transação bancária são recomendações práticas que especialistas divulgaram logo após o incidente.

Alinhamento a frameworks reconhecidos

Para estruturar a governança de forma robusta, é recomendável mapear controles aos principais frameworks internacionais. O NIST Cybersecurity Framework oferece um roteiro com cinco funções (Identificar, Proteger, Detectar, Responder e Recuperar). A ISO/IEC 27001 define requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Já o CIS Controls v8 agrupa ações práticas em 18 controles essenciais, como inventário de ativos, gestão de configurações seguras e monitoramento contínuo de logs. Integrar a validação de sessões, MFA e testes de penetração ao escopo desses frameworks garante maturidade e compliance com exigências regulatórias.

Conclusão

O vazamento de dados da Centauro reforça que brechas aparentemente simples de autorização podem se transformar em crises de grande impacto. A resposta imediata — desativar a interface vulnerável, aplicar patch emergencial e comunicar clientes — limitou o estrago, mas a prevenção contínua deveria estar alicerçada em governança cibernética madura, processos de desenvolvimento seguro e monitoramento ativo de APIs.

Empresas que ainda dependem de autenticação estática e autorização básica colocam clientes e reputação em risco. Adotar autenticação multifator, revisar código desde o design inicial, testar com pentests regulares e mapear controles aos frameworks NIST, ISO 27001 e CIS Controls são passos essenciais para evitar que falhas de configuração evoluam em incidentes de larga escala.

Se você busca elevar seu nível de segurança, considere um programa de governança cibernética especializado: combinamos avaliações técnicas, revisão de fornecedores e construção de playbooks de incident response para garantir que vulnerabilidades como a explorada na Centauro sejam identificadas e corrigidas antes de impactar clientes e negócios.

Referências

1. Tecnoblog. “Falha grave no site da Centauro expõe dados de clientes.” https://tecnoblog.net/noticias/falha-grave-no-site-da-centauro-expoe-dados-de-usuarios/

2. Seu Dinheiro. “Dados de clientes da Centauro são expostos em falha de cibersegurança.” https://www.seudinheiro.com/2025/empresas/dados-de-clientes-da-centauro-sao-expostos-em-falha-em-sistemas-de-ciberseguranca-bvog/

3. Canaltech. “Site da Centauro sai do ar após bug que deixou dados de clientes expostos.” https://canaltech.com.br/internet/site-da-centauro-sai-do-ar-apos-bug-que-deixou-dados-de-clientes-expostos/

4. OWASP. “Insecure Direct Object References (IDOR).” OWASP Top 10 – A5:2021. https://owasp.org/Top10/A05_2021-Broken_Access_Control/

5. NIST. “Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1.” abr. 2018. https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

6. ISO/IEC 27001:2013. “Information security management systems – Requirements.” ISO, 2013.

7. Center for Internet Security. “CIS Controls® v8.” mar. 2021. https://www.cisecurity.org/controls/cis-controls-list/