Uma falha crítica de segurança no site da Centauro, varejista de artigos esportivos, expôs dados sensíveis de milhares de clientes na tarde de 3 de julho de 2025, em São Paulo. Com apenas um CPF ou e-mail, qualquer pessoa podia acessar contas alheias sem autenticação adequada, visualizando informações como endereços, cartões de crédito e históricos de compras. A vulnerabilidade, que gerou ampla repercussão nas redes sociais, levou a empresa a tirar o site do ar para correções, concluídas por volta das 18h30. O incidente levantou alertas sobre a proteção de dados no e-commerce brasileiro, enquanto usuários correram para remover informações pessoais da plataforma. O Grupo SBF, controlador da Centauro, confirmou a instabilidade e afirmou que adotou medidas para restabelecer a segurança.
A gravidade da falha chocou consumidores, que relataram facilidade em acessar contas de terceiros usando senhas aleatórias, como “1234”. A situação foi amplamente discutida online, com alertas para que clientes excluíssem dados sensíveis, como cartões cadastrados. O caso expôs fragilidades na infraestrutura digital da empresa, uma das maiores do setor esportivo no Brasil, e reacendeu debates sobre a conformidade com a Lei Geral de Proteção de Dados (LGPD).
O incidente também colocou em xeque a transparência das empresas em situações de vulnerabilidade. Especialistas em cibersegurança criticaram a ausência de autenticação robusta, como verificação em dois fatores, e cobraram esclarecimentos sobre a extensão do problema. A Centauro, que registrou receita de R$ 821,4 milhões no e-commerce no primeiro trimestre de 2025, enfrenta agora o desafio de recuperar a confiança dos consumidores.
- Dados expostos: Endereços, números de cartão, telefones e históricos de pedidos.
- Tempo de resposta: Correção foi implementada em cerca de três horas.
- Reação dos usuários: Mobilização nas redes sociais para alertar sobre a falha.
- Contexto legal: LGPD exige notificação de incidentes às autoridades.
A vulnerabilidade em detalhes
A falha no site da Centauro permitia que qualquer pessoa, ao inserir um CPF, CNPJ ou e-mail no campo de login, acessasse contas sem necessidade de senha válida. Testes realizados por jornalistas e usuários confirmaram que o sistema autenticava logins mesmo com senhas incorretas, expondo dados sensíveis. Informações como endereços completos, números de telefone, cartões de crédito cadastrados e histórico de compras ficavam disponíveis, representando um risco significativo de fraudes.
O problema foi identificado por volta do meio-dia de 3 de julho, com relatos se espalhando rapidamente nas redes sociais. Usuários compartilharam capturas de tela mostrando como era possível acessar contas alheias, o que amplificou a gravidade do caso. A facilidade de exploração da falha sugeriu uma falha básica na arquitetura de segurança do site, algo incomum para uma empresa do porte da Centauro, que opera tanto no e-commerce quanto em mais de 200 lojas físicas.
Por volta das 15h, o site da Centauro começou a apresentar mensagens de “acesso negado”, indicando que a empresa havia iniciado medidas para conter o problema. A plataforma ficou completamente fora do ar até o final da tarde, quando a correção foi concluída. Apesar da rapidez na resposta, a ausência de um comunicado oficial imediato gerou críticas entre consumidores e especialistas.
Reação da Centauro
O Grupo SBF, controlador da Centauro, emitiu uma nota confirmando a “instabilidade” no site e no aplicativo ao longo do dia. A empresa informou que as correções necessárias foram implementadas e que o sistema voltou a operar normalmente. A nota reforçou o compromisso com a privacidade e a segurança, mas não detalhou a quantidade de contas afetadas nem a causa exata da falha. A falta de informações específicas sobre o incidente alimentou a desconfiança de clientes, que exigiram maior transparência.
A Centauro também não informou se notificaria os usuários impactados, como determina a LGPD. A lei, em vigor desde 2020, obriga empresas a comunicar vazamentos ou falhas de segurança à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares dos dados em prazo razoável. Até o fechamento da notícia, não havia registro de notificação oficial à ANPD, o que levantou questionamentos sobre o cumprimento das obrigações legais.
- Medidas tomadas: Site foi tirado do ar e falha corrigida em poucas horas.
- Comunicação: Nota oficial não especificou a extensão do problema.
- LGPD: Empresas devem notificar incidentes à ANPD e aos clientes.
- Reputação: Centauro enfrenta pressão para recuperar confiança.
Impacto nos consumidores
A exposição de dados sensíveis gerou pânico entre os clientes da Centauro. Muitos correram para remover cartões de crédito e endereços cadastrados na plataforma, temendo fraudes. Nas redes sociais, hashtags relacionadas à falha ganharam tração, com usuários compartilhando dicas de segurança, como evitar salvar informações de pagamento em sites de e-commerce. A mobilização online foi crucial para alertar outros consumidores antes que a empresa tomasse medidas.
Casos de fraudes não foram confirmados até o momento, mas especialistas alertaram que os dados expostos podem ser usados em golpes futuros, como phishing ou compras não autorizadas. A recomendação foi que os clientes monitorassem extratos bancários e alterassem senhas em outras plataformas, especialmente se usassem as mesmas credenciais na Centauro.
A experiência de compra online, que cresceu significativamente no Brasil nos últimos anos, foi abalada pelo incidente. A Centauro, que viu seu faturamento no e-commerce crescer 24,5% no primeiro trimestre de 2025, agora enfrenta o desafio de reconquistar a confiança de uma base de clientes que valoriza conveniência, mas também segurança.
⚠️ Tirem seus cartões do site Centauro, está dando pra entrar com qualquer senha no sitehttps://t.co/f67DJKzR2C pic.twitter.com/bs6E2ybE3w
— LinksBR – Promoções (@LinksBrazil) July 3, 2025
O papel da LGPD
A Lei Geral de Proteção de Dados, implementada em 2020, estabelece diretrizes claras para a proteção de informações pessoais no Brasil. Em casos de incidentes de segurança, as empresas devem notificar a ANPD e os clientes afetados, detalhando a natureza dos dados expostos, os riscos envolvidos e as medidas tomadas. A falha da Centauro, por sua gravidade, enquadra-se como um caso que exige essa comunicação.
Especialistas em direito digital apontaram que a ausência de autenticação em dois fatores no site da Centauro pode ser considerada uma falha de governança. A LGPD prevê multas de até 2% do faturamento anual da empresa, limitadas a R$ 50 milhões por infração, além de outras sanções, como a suspensão de atividades. Até o momento, a ANPD não se pronunciou sobre o caso, mas investigações podem ser iniciadas com base nos relatos públicos.
A legislação brasileira ainda é considerada branda por alguns especialistas, que comparam o caso a regulamentações mais rigorosas, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. A falta de obrigação de divulgar a dimensão exata do incidente, segundo Alberto Leite, CEO do Grupo FS Security, limita a transparência e a responsabilização das empresas.
Repercussão nas redes sociais
A falha da Centauro dominou as discussões online na tarde de 3 de julho. Usuários compartilharam alertas urgentes, recomendando a remoção de dados sensíveis da plataforma. Publicações com capturas de tela da vulnerabilidade circularam amplamente, aumentando a pressão sobre a empresa para uma resposta rápida. A hashtag #CentauroFalha tornou-se trending topic, com milhares de menções em poucas horas.
A mobilização nas redes sociais também destacou a importância da educação digital. Muitos usuários, ao perceberem a facilidade de acesso às contas, passaram a questionar a segurança de outros sites de e-commerce. A discussão ganhou tom de alerta coletivo, com influenciadores e perfis de tecnologia reforçando a necessidade de práticas seguras, como o uso de senhas únicas e autenticação multifator.
- Mobilização: Usuários compartilharam alertas e dicas de segurança.
- Hashtags: #CentauroFalha ganhou milhares de menções.
- Educação digital: Caso reforçou a importância de senhas seguras.
- Pressão: Redes sociais aceleraram a resposta da empresa.
Contexto do e-commerce no Brasil
O comércio eletrônico no Brasil cresceu exponencialmente nos últimos anos, impulsionado pela pandemia e pela digitalização do consumo. Em 2024, o setor movimentou cerca de R$ 185 bilhões, segundo a Associação Brasileira de Comércio Eletrônico (ABComm). A Centauro, com sua forte presença no segmento esportivo, é uma das líderes nesse mercado, competindo com gigantes como Netshoes e Decathlon.
No entanto, o crescimento do e-commerce trouxe desafios de cibersegurança. Incidentes como o da Centauro não são isolados. Em junho de 2025, os Correios anunciaram um vazamento que comprometeu 2% de sua base de cadastros, enquanto em 2024 o INSS enfrentou exposição de dados de 39,5 milhões de beneficiários. Esses casos evidenciam a fragilidade de sistemas que lidam com grandes volumes de informações pessoais.
A confiança no e-commerce depende de investimentos em segurança. Empresas que falham em proteger dados enfrentam não apenas perdas financeiras, mas também danos à reputação. Para a Centauro, o incidente de 3 de julho representa um alerta para a necessidade de revisar processos e adotar tecnologias mais robustas.
Críticas de especialistas
Profissionais de cibersegurança foram unânimes em classificar a falha da Centauro como grave. David González, especialista da Eset, destacou que a ausência de autenticação em dois fatores é uma falha básica em plataformas de e-commerce. Ele recomendou que empresas invistam em sistemas de verificação por SMS ou aplicativos, além de criptografia avançada para proteger dados sensíveis.
Alberto Leite, do Grupo FS Security, questionou a legislação brasileira, que não exige que empresas como a Centauro detalhem a dimensão de incidentes de segurança. Ele comparou o caso a ataques internacionais, como o da exchange de criptomoedas Bybit, que perdeu US$ 1,5 bilhão em 2024. Para Leite, a falta de transparência dificulta a avaliação dos riscos reais aos consumidores.
A falha também expôs a necessidade de testes regulares de segurança, conhecidos como QA (Quality Assurance). Profissionais da área apontaram que vulnerabilidades como a da Centauro poderiam ser detectadas com auditorias frequentes, evitando exposição em larga escala.
Ações recomendadas aos consumidores
Diante da falha, especialistas emitiram orientações claras para os clientes da Centauro. A primeira medida é remover cartões de crédito e endereços cadastrados na plataforma. Alterar a senha da conta, mesmo após a correção, foi outra recomendação, preferencialmente usando combinações únicas e complexas. O uso de gerenciadores de senhas foi sugerido para facilitar a criação de credenciais seguras.
Outra orientação foi ativar a autenticação em dois fatores em todos os serviços possíveis, mesmo que a Centauro ainda não ofereça essa opção. Monitorar extratos bancários e denunciar transações suspeitas também foi destacado como essencial. Por fim, os consumidores foram aconselhados a evitar clicar em links recebidos por e-mail ou SMS, que podem ser tentativas de phishing explorando o incidente.
- Remoção de dados: Excluir cartões e endereços da plataforma.
- Senhas: Usar combinações únicas e complexas.
- Monitoramento: Verificar extratos bancários regularmente.
- Phishing: Evitar links suspeitos em mensagens.
O futuro da segurança na Centauro
Após a correção da falha, a Centauro enfrenta o desafio de implementar medidas preventivas para evitar novos incidentes. Investimentos em autenticação multifator, criptografia e auditorias regulares são vistos como prioritários. A empresa também precisará melhorar sua comunicação com os clientes, oferecendo canais claros para suporte em casos de crise.
O incidente de 3 de julho serviu como um alerta para o setor de e-commerce no Brasil. Com o aumento das compras online, a segurança digital tornou-se um diferencial competitivo. Empresas que priorizam a proteção de dados tendem a conquistar maior lealdade dos consumidores, enquanto falhas como a da Centauro podem ter efeitos duradouros na confiança do público.
A pressão por maior regulamentação também deve crescer. Especialistas defendem que a ANPD adote medidas mais rigorosas, como a obrigatoriedade de relatórios detalhados sobre incidentes. Enquanto isso, os consumidores permanecem atentos, exigindo transparência e segurança das marcas com as quais interagem.
