Resumo
- Bug no site da Centauro permitia acesso a dados com apenas o login do cliente
- Informações pessoais e de pagamento estavam visíveis sem autenticação
- Procedimento circulou nas redes, mas Tecnoblog optou por não divulgar o método
O site da loja Centauro, de itens esportivos, apresenta uma falha grave na tarde de hoje. Qualquer pessoa consegue acessar as informações de clientes da empresa, desde que saiba o login do consumidor. Ele pode ser o email ou o CPF, entre outras possibilidades.
Nos nossos testes, conseguimos abrir a conta de pessoas na Centauro e visualizar informações como telefone, endereço, histórico de pedidos, cadastro de cartões e outros métodos de pagamento. Na prática, é como se qualquer internauta pudesse se autenticar no site e agir como se fosse o dono da conta.
A técnica para realizar a consulta é muito simples e rapidamente ganhou as redes sociais. Apesar disso, o Tecnoblog optou por não informar o procedimento nesta notícia.
Nós estamos em contato com a Centauro para checar se a empresa tem conhecimento do problema e qual a previsão para corrigi-lo. Este texto será atualizado quando recebermos uma resposta.
Cabe lembrar que a Lei Geral de Proteção de Dados (LGPD) estabelece a guarda e proteção das informações dos clientes. Ela também exige transparência ao lidar com situações de vazamentos, invasões e demais situações de crise.