Neste Artigo
Na tarde do dia 3 de julho de 2025, usuários começaram a relatar nas redes sociais e fóruns técnicos uma falha catastrófica no processo de login do site da Centauro, uma das maiores varejistas de artigos esportivos do Brasil. O que começou com suspeitas rapidamente evoluiu para provas práticas: era possível acessar contas de clientes apenas digitando um CPF ou e‑mail válido, sem necessidade de senha ou autenticação secundária.
Testes conduzidos por especialistas em segurança revelaram que, ao digitar apenas o CPF ou e-mail em campos de login (ou diretamente na API), o sistema autorizava o acesso sem qualquer verificação de senha. Isso expôs instantaneamente dados sensíveis de milhares (ou milhões) de clientes.
Quais dados podiam ser visualizados?
Nome completo e endereço;
Telefone e e-mail;
Histórico de compras;
Dados de cartão de crédito salvos (número parcialmente ofuscado, mas com validade e nome);
CPF e outros dados pessoais.
A vulnerabilidade parece estar ligada a uma falha lógica grave na API de autenticação, que possivelmente retornava tokens de sessão mesmo sem validação de senha ou permitia autenticação condicional inválida.
Vídeo da internet, autor não identificado; foi reenviado, mas é possível ver acesso com senha fraca.
Consequência imediata: site derrubado
Conforme os relatos se multiplicaram, o site da Centauro começou a exibir a mensagem Access Denied, como mostra a imagem:
A página indica que o acesso foi bloqueado manualmente por proteção de borda, usando provavelmente um WAF da Akamai (edgesuite.net) para negar conexões externas ao servidor de login/API.
Essa reação emergencial mostra que:
A equipe de segurança identificou o vazamento;
Tomou a decisão de bloquear o acesso por completo para evitar exploração em massa;
Mas ainda não publicou nenhuma nota oficial, o que fere diretamente o princípio da transparência exigido pela LGPD (Lei Geral de Proteção de Dados).
Linha do tempo resumida (03/07/2025)
| Horário | Evento |
|---|---|
| ~11h | Primeiros relatos de login sem senha circulam em fóruns e Twitter |
| ~13h | Provas concretas e prints demonstrando acesso a dados de terceiros |
| ~15h | Site começa a retornar "Access Denied" ao tentar acessar centauro.com.br |
| ~18h | Ainda sem nota oficial; suspeita de violação da LGPD |
Causa provável: falha lógica no fluxo de autenticação
As hipóteses mais sólidas apontam para uma falha de autenticação (CWE-287) combinada com uma má configuração da API de login. Eis um possível fluxo defeituoso:
O cliente insere apenas o e-mail ou CPF.
O sistema envia essa informação para a API interna (
/api/v1/login/verify).Em vez de validar a senha e autenticar com um hash seguro, a API responde com um token de sessão direto baseado apenas na existência daquele e-mail ou CPF no banco de dados.
Esse token é então usado automaticamente pelo frontend para logar o usuário, sem qualquer desafio adicional.
Isso pode ter sido causado por:
Uso de endpoints internos de login sem autenticação, expostos publicamente por erro de deploy;
Um sistema de login "sem senha" em fase de testes, ativado acidentalmente em produção;
Um bug no controle de estado do frontend, onde o fluxo de verificação de senha foi ignorado.
Conclusão
O caso da Centauro é um exemplo didático de como um simples erro lógico pode escalar para uma crise nacional de privacidade e segurança. A falta de autenticação adequada e a exposição de dados pessoais críticos são falhas que colocam milhões de brasileiros em risco de phishing, fraude bancária, clonagem de cartão e ataques direcionados.
