Falha no site da Centauro deixa dados de usuários expostos

Uma falha de segurança no site da Centauro durante a tarde da última quinta (3) deixou expostas informações de clientes com cadastro na plataforma da varejista. Segundo relatos nas redes sociais, com dados básicos de login como CPF, CNPJ ou e-mail, qualquer pessoa conseguia acessar a conta de um terceiro utilizando uma senha aleatória e visualizar informações privadas do usuário original, como dados de cartão de crédito, meios de pagamento, histórico de compras e endereços.

O assunto movimentou o X (antigo Twitter) ao longo da tarde. Diversos usuários aconselharam pessoas com contas criadas na plataforma a retirarem do ar informações como endereço e cartões cadastrados para compras online. O site da Centauro chegou a ficar fora do ar após o bug. Por volta das 18h30, a falha já estava corrigida e não era mais possível acessar outras contas com o procedimento descrito nas redes sociais.

Em nota à Folha de S.Paulo, o Grupo SBF, controlador da Centauro, confirmou a instabilidade em seu site e app ao longo do dia e afirmou já ter concluído as correções necessárias para o regular restabelecimento de sua operação. "Reafirmamos nosso compromisso com as melhores práticas em privacidade e segurança da informação, sempre buscando um ambiente seguro e confiável aos nossos colaboradores, clientes e parceiros", disse a companhia.

CEO da holding de cibersegurança Grupo FS Security, que está por trás da Exa, Alberto Leite questiona a legislação aplicada às empresas em torno da proteção de dados em casos de falhas como essa. "Hoje, com o regulamento da CVM [Comissão de Valores Mobiliários], a Centauro não precisa fazer nada, nem informar a dimensão do ataque, nem o prejuízo. Basta registrar um boletim de ocorrência na polícia, mas não tem transparência alguma", disse Leite.