Pular para o conteúdo
NexGuard NexGuard

Americanas perdeu R$ 923 milhões em 3 dias. O motivo? Uma falha em aplicação web.

Em fevereiro de 2022, a Americanas perdeu R$ 923 milhões em três dias por uma falha de segurança no e-commerce. Entenda em 3 minutos por que sua empresa pode ser a próxima.

Guilherme Ferreira 3 min de leitura

Sexta-feira, 18 de fevereiro de 2022. Tudo normal nas Lojas Americanas.

Sábado, 19 de fevereiro. O grupo Lapsus$ consegue acesso não autorizado aos servidores. A empresa, ao perceber, desliga proativamente os sites por segurança.

Resultado nos três dias seguintes:

  • R$ 923 milhões em vendas perdidas
  • R$ 3,5 bilhões evaporados em valor de mercado
  • Submarino, Shoptime e Sou Barato também fora do ar
  • Concorrentes Magalu e Via subindo na bolsa enquanto a Americanas caía

Tudo isso porque o que sustenta 60% da operação de uma das maiores varejistas do Brasil — o e-commerce — ficou exposto a uma vulnerabilidade que nem precisou ser explorada por completo. Bastou a suspeita para tirar tudo do ar.

Não foi só a Americanas

Em 2021, a Lojas Renner ficou 3 dias com sites fora do ar após ataque cibernético. No mesmo ano, a CVC ficou 12 dias sem operar por causa de ransomware. Porto Seguro, JBS e Fleury também entraram na lista.

O padrão é o mesmo: empresa grande, time de TI competente, e mesmo assim uma vulnerabilidade em aplicação web abre a porta para o estrago.

A pergunta não é mais "será que vai acontecer comigo?". É "quanto vou perder quando acontecer?".

A sua aplicação web é a sua fachada

Pensa no que é o seu site, seu e-commerce, sua área de cliente, seu aplicativo. Não é só "tecnologia". É:

  • A vitrine que recebe novos clientes
  • O caixa onde as vendas acontecem
  • O atendimento que segura quem já comprou
  • A reputação que a imprensa avalia

Quando essa fachada cai, ou pior, quando vaza dados, a percepção do mercado muda instantaneamente. Cliente que ia comprar hoje, compra do concorrente. Acionista que confiava, vende a ação. Imprensa que ignorava sua empresa, publica matéria. E o pior: tudo isso acontece junto.

O que torna uma aplicação web vulnerável

Sem entrar em jargão técnico, são quatro coisas:

Pressa no desenvolvimento. Time correndo para entregar funcionalidade nova. Segurança vira "a gente vê depois". Depois nunca vem.

Dependências desatualizadas. Aplicações modernas usam dezenas de bibliotecas prontas. Quando uma delas tem uma falha conhecida e ninguém atualiza, a porta fica aberta para qualquer um que saiba olhar.

Configurações padrão. Servidor instalado com senhas padrão, áreas administrativas expostas, mensagens de erro que revelam a estrutura interna do sistema. Coisa básica que ninguém vai conferir até alguém invadir.

Falta de teste real. A equipe de desenvolvimento testa se o sistema funciona. Não testa se o sistema resiste a quem quer quebrá-lo. São disciplinas diferentes.

O cálculo que faz sentido

A Americanas perdeu R$ 923 milhões em 3 dias. Considerando que ela vendia em média R$ 62 milhões por dia no online, cada hora fora do ar custou aproximadamente R$ 2,6 milhões.

Quanto a sua empresa vende por dia no canal digital? Multiplique por 24, depois por 3. Esse é o seu cenário de risco caso um ataque assim aconteça com você. E se for sua primeira vez, provavelmente vai demorar mais que 3 dias para voltar.

Um pentest profissional em aplicação web custa entre R$ 5 mil e R$ 60 mil. Compara com o número que você acabou de calcular.

A diferença entre quem leva o tombo e quem não leva

Não é sorte. É processo.

Empresas que mantêm o digital de pé fazem três coisas básicas: testam suas aplicações com regularidade (não só quando vão para produção), corrigem o que é encontrado dentro de prazos curtos, e revisam tudo de novo depois de cada mudança grande. É um ciclo, não um evento.

A maioria das empresas brasileiras faz isso? Não. A maioria espera o problema acontecer para reagir. E é exatamente por isso que casos como o da Americanas continuam acontecendo.

Onde a NexGuard entra

A gente faz pentest em aplicação web da mesma forma que um atacante real faria: olhando para tudo que está exposto, testando cada porta, cada formulário, cada integração. A diferença é que no final você recebe um relatório com o que encontramos e como corrigir, em vez de virar manchete.

Em geral, o resultado é desconfortável de ler. Empresa nenhuma gosta de ver a lista de vulnerabilidades. Mas é muito melhor receber esse relatório da gente do que ver a notícia no jornal econômico no dia seguinte.

Quer saber em quais pontos sua aplicação está exposta? Agende uma conversa de 20 minutos. Sem termo técnico, sem pressão. Só uma análise honesta de risco.

A Americanas voltou. Tem caixa, marca e cobertura de seguro. Sua empresa também teria?

Fonte: CNN Brasil, CISO Advisor, Seu Dinheiro, comunicado oficial da Americanas S.A. (fevereiro/2022).

#api-security #cloud-security #devsecops #owasp #vulnerabilidades #pentest
Continue lendo

Artigos relacionados

AppSec

R$ 400 milhões em prejuízo: o ataque que paralisou uma das maiores farmácias do Brasil

Em 2025, o Grupo Jorge Batista perdeu R$ 400 milhões em um único ataque ransomware. Entenda em 4 minutos por que 15% das empresas atingidas fecham as portas.

4 min de leitura
AppSec

Banco Pan: como um único script vazou dados de milhares de clientes (e o que isso significa para a sua empresa)

Em 2022, o Banco Pan teve dados de milhares de clientes vazados por uma única falha técnica. Entenda em 3 minutos por que isso pode acontecer com a sua empresa hoje.

3 min de leitura
Aplicar na prática

Quer aplicar isso na sua empresa?

Marque um diagnóstico gratuito. Em 15 minutos identificamos os pontos críticos do seu ambiente e desenhamos um plano executável.

Mensagem recebida.

Vamos responder em até 8h úteis. Para urgências, use o WhatsApp.

Ao enviar, você concorda com nossa política de privacidade.