CEVIU Logo
Voltar

Loblaw confirma violação de dados: Gigante varejista canadense revela que 'informações básicas de clientes' foram afetadas

Aprofundamento CEVIU

Aprofundamento

A Loblaw confirmou a violação em 10 de março, mas só divulgou publicamente em 17 de março, um lapso que reforça o padrão canadense de notificação tardia sob a Lei PIPEDA, que exige aviso 'tão logo razoavelmente possível', sem prazo fixo. O ataque explorou um segmento de rede não crítico, mas com acesso lateral a sistemas de CRM e identidade: os dados roubados incluem nomes, e-mails e telefones, suficientes para disparar campanhas de phishing direcionadas contra clientes da PC Financial e da Shoppers Drug Mart, marcas sob o mesmo grupo.

O fato de a empresa ter forçado logout em todas as contas digitais mostra que o comprometimento foi detectado em tempo real no ambiente de autenticação, provavelmente via logs anômalos de acesso ao Oracle IDCS ou ao Salesforce, plataformas citadas nas alegações não confirmadas do Dark Web Informer. A recusa em comentar os números divulgados (75,1 milhões de registros no Salesforce, por exemplo) não invalida a ameaça: esses volumes são compatíveis com o tamanho da base de clientes da Loblaw, que ultrapassa 26 milhões de usuários ativos no programa PC Optimum.

Por que isso importa

Clientes brasileiros não estão diretamente expostos, mas o caso serve como alerta prático para varejistas locais que usam CRM em nuvem e integram identidade com bancos (como o Itaú no programa Extra+ ou o Bradesco no Clube Carrefour): um único ponto fraco em um ambiente de TI não crítico pode ser porta de entrada para ataques de engenharia social em larga escala. A ausência de vazamento de senhas ou dados de cartão é positiva, mas não elimina o risco operacional, fraudes por telefone ou e-mail usando informações reais têm taxa de sucesso até 3x maior que mensagens genéricas, segundo relatório da Canadian Anti-Fraud Centre de fevereiro de 2026.

Perguntas frequentes

Meus dados de cartão de crédito foram vazados?

Não. A Loblaw afirmou categoricamente que informações financeiras, dados de cartão de crédito e credenciais de login não foram acessadas. O que foi comprometido são apenas dados de contato básicos: nome, e-mail e telefone.

Preciso mudar minha senha do app da Loblaw ou da Shoppers Drug Mart?

Sim, a empresa já forçou logout em todas as contas digitais. Ao fazer login novamente, você deve usar uma senha nova e única. Evite reutilizá-la em outros serviços, especialmente bancos ou e-mail.

O que posso fazer para me proteger de golpes após essa violação?

Desconfie de ligações, SMS ou e-mails pedindo confirmação de dados pessoais, mesmo que pareçam vir de marcas conhecidas. A Loblaw não entrará em contato por telefone pedindo senhas ou códigos de verificação. Ative a autenticação em duas etapas em todos os serviços que oferecem.

A Loblaw vai pagar indenização aos clientes afetados?

Até agora, não há anúncio de compensação financeira. A empresa limitou sua resposta à comunicação de impacto, reforço de segurança e orientação sobre vigilância contra phishing. Processos coletivos no Canadá são raros nesses casos, a menos que haja dano comprovado, como fraudes originadas diretamente dos dados vazados.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
17 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser