Iniciativa CpC: Cidadãos pela Cibersegurança

Análise do alegado incidente Continente.pt (dados de clientes à solta na darkweb)

Published by

Rui Martins

on



Correspondência entre os campos alegadamente à venda e a estrutura de conta visível após login em https://www.continente.pt/conta/dados-pessoais/


A correspondência é praticamente total. Linha a linha por Campo alegado no dataset e Secção visível na conta Continente

A estrutura do alegado dataset mapeia diretamente para o modelo de dados de um CRM de e-commerce integrado com módulo de fidelização: exatamente o que o Cartão Continente representa. Não há campos no alegado leak que não encontrem correspondência lógica na arquitetura da conta. Isso não confirma a autenticidade, mas é consistente com uma exfiltração real de backend, não com um scraping superficial.

Algo está a acontecer em Portugal em 2026 e ocorre num padrão muito consistente: Temos o caso da  Worten, incidente reportado com exposição de dados de clientes, da Locky dos CTT, presença confirmada em infraestrutura nacional, acessos a portais de recrutamento e serviços públicos e, agora o alegado caso Continente… O que parece estar a acontecer é que o país se tornoi um alvo atrativo: temos uma base de utilizadores com baixa literacia em segurança, adoção crescente de e-commerce e fidelização digital, áreas de cibersegurança inexistentes ou em redução, e uma ausência generalizada de notificação rápida e pública por parte das organizações afetadas: o que aumenta a janela de exploração.

O NIF como campo presente neste alegado dataset é particularmente grave no contexto português: é usado como identificador em portais AT, SNS, finanças, e como fator de autenticação fraca em vários serviços públicos e privados.

O que deve fazer o utilizador afetado (ou potencialmente afetado) que tenha conta em continente.pt:

1. De imediato:
Alterar a palavra-passe do Continente.pt: e de qualquer outro serviço onde a mesma combinação e-mail/palavra-passe esteja em uso (reutilização de credenciais é o vetor mais explorado pós-breach).
Ativar autenticação de dois fatores onde disponível: o Continente.pt não é conhecido por oferecer 2FA robusto, mas os serviços de e-mail e bancários associados devem tê-lo ativo.
Não confiar em nenhuma comunicação que invoque o Continente nas próximas semanas: e-mail, SMS, chamada telefónica. O dataset inclui preferências de comunicação e histórico de encomendas, o que permite construir phishing altamente personalizado (“a tua encomenda de [produto real] teve um problema de pagamento”)

2. A médio prazo:
Alertar o banco para possíveis tentativas de social engineering com dados pessoais específicos (nome, morada, histórico de compras)
Verificar extratos de cartões associados a compras no Continente, mesmo que os dados de pagamento completos não estejam alegadamente expostos: o histórico de transações é suficiente para construir pretextos convincentes
O utilizador tem direito a exercer o direito de acesso (art. 15.º RGPD) junto do Continente para saber exatamente que dados são tratados: e o direito de apresentar queixa à CNPD se não obtiver resposta adequada em 30 dias

A Sonae (operadora do Continente) tem obrigação de notificação à CNPD em 72 horas caso confirme uma violação de dados pessoais (art. 33.º RGPD), e de notificação aos titulares se o risco for elevado (art. 34.º RGPD)  o que, com NIF, histórico de compras e dados de contacto, claramente seria…

Nota editorial para CpC: este caso é (ainda) “alegado”: não existe a 27 de maio de 2026 confirmação pública por parte da Sonae/Continente. Este alerta deve deixar isto muito claro, mas pode e deve levar a uma resposta da empresa, um reforço dos seus sistemas de autenticação (introduzindo, por exemplo, MFA) e exigir que todas as empresas e organizações nacionais tenham os seus sistemas melhor protegidos.

Enviada ao Continente.pt dpo@sonaemc.com

Subject: Alegada violação de dados de clientes Continente.pt: Pedido de posição oficial e informação sobre cumprimento do RGPD

Exmo(a)s Senhores,

A Cidadãos pela Cibersegurança (CpC) — organização cívica informal dedicada à promoção dos direitos digitais e da cibersegurança em Portugal — dirige-se à Sonae MC na sequência de uma publicação com circulação em comunidades underground que alega a disponibilização de um dataset associado ao domínio Continente.pt.

De acordo com o aviso publicado, o conjunto de dados alegadamente exposto abrangeria aproximadamente 576 000 registos de clientes portugueses, incluindo:

Nomes completos, endereços de e-mail e números de contacto
Números de identificação fiscal (NIF)
Moradas e códigos postais
Dados do programa de fidelização Cartão Continente
Histórico de encomendas e transações
Moradas de entrega e informação logística
Preferências de marketing, comunicação e opt-in
Metadados de registo e sessão
Estado de pagamentos e registos de devoluções

A estrutura do alegado dataset é consistente com a arquitetura de dados exposta na área autenticada do Continente.pt, nomeadamente nas secções Dados Pessoais, Cartão Continente, Moradas, Histórico de Encomendas e Preferências. Esta correspondência não confirma a autenticidade da alegação, mas impõe que a organização se pronuncie de forma clara e pública.

Neste contexto, a CpC solicita formalmente à Sonae MC:
1. Confirmação ou desmentido fundamentado da existência de uma violação de dados pessoais relacionada com o Continente.pt;
2. Informação sobre se foi efetuada a notificação à Comissão Nacional de Proteção de Dados (CNPD) nos termos do artigo 33.º do Regulamento (UE) 2016/679 (RGPD), que estabelece um prazo de 72 horas a contar do momento em que a organização tomou conhecimento da violação;
3. Indicação sobre se foi ou será desencadeado o procedimento de comunicação aos titulares dos dados previsto no artigo 34.º do RGPD, dado que a eventual exposição de NIF, histórico de compras, dados de contacto e informação de fidelização constitui, em abstrato, um risco elevado para os direitos e liberdades dos titulares;
4. Medidas de mitigação já implementadas ou previstas para os clientes potencialmente afetados.

A CpC aguarda resposta até ao prazo de 10 dias úteis a contar da data de receção do presente e-mail. Na ausência de resposta, ou perante resposta que se revele manifestamente insuficiente, a organização reserva-se o direito de encaminhar a situação para a CNPD e de tornar pública a ausência de posicionamento por parte da Sonae MC.

Os cidadãos afetados têm o direito de saber. A organização tem a obrigação de informar.

Com os melhores cumprimentos,
Cidadãos pela Cibersegurança (CpC)

Template para uso por cidadãos com registo em continente.pt

Exmo(a)s Senhores,

Dirijo-me à Sonae MC na qualidade de titular de dados pessoais com registo ativo no Continente.pt, na sequência da circulação, em comunidades underground, de um alegado dataset associado a esse domínio.

De acordo com o aviso publicado, o conjunto de dados alegadamente exposto abrangeria aproximadamente 576 000 registos de clientes portugueses, incluindo:

— Nomes completos, endereços de e-mail e números de contacto
— Números de identificação fiscal (NIF)
— Moradas e códigos postais
— Dados do programa de fidelização Cartão Continente
— Histórico de encomendas e transações
— Moradas de entrega e informação logística
— Preferências de marketing, comunicação e opt-in
— Metadados de registo e sessão
— Estado de pagamentos e registos de devoluções

A estrutura do alegado dataset é consistente com a arquitetura de dados visível na área autenticada do Continente.pt, nomeadamente nas secções Dados Pessoais, Cartão Continente, Moradas, Histórico de Encomendas e Preferências. Esta correspondência não confirma a autenticidade da alegação, mas impõe que a organização se pronuncie de forma clara perante os titulares dos dados afetados.

Neste contexto, e ao abrigo do Regulamento (UE) 2016/679 (RGPD), solicito formalmente à Sonae MC:

  1. Confirmação ou desmentido fundamentado da existência de uma violação de dados pessoais relacionada com o Continente.pt, incluindo indicação sobre se os meus dados pessoais foram afetados;
  2. Informação sobre se foi efetuada a notificação à Comissão Nacional de Proteção de Dados (CNPD) nos termos do artigo 33.º do RGPD, que estabelece um prazo de 72 horas a contar do momento em que a organização tomou conhecimento da violação;
  3. Indicação sobre se foi ou será desencadeado o procedimento de comunicação aos titulares previsto no artigo 34.º do RGPD — obrigação que se impõe quando a violação seja suscetível de implicar um risco elevado para os direitos e liberdades dos titulares, o que a alegada exposição de NIF, histórico de compras, dados de contacto e informação de fidelização claramente configura;
  4. Cópia dos dados pessoais que a Sonae MC trata a meu respeito, ao abrigo do direito de acesso consagrado no artigo 15.º do RGPD;
  5. Medidas de mitigação já implementadas ou previstas para os clientes potencialmente afetados.

Nos termos do artigo 12.º do RGPD, aguardo resposta no prazo de um mês a contar da receção do presente pedido. Na ausência de resposta ou perante resposta manifestamente insuficiente, reservo-me o direito de apresentar queixa junto da CNPD, ao abrigo do artigo 77.º do RGPD.

Com os melhores cumprimentos,

[Nome]
[E-mail de registo no Continente.pt]
[NIF — para identificação do titular]

Fonte:
https://x.com/DailyDarkWeb/status/2059611614043594906/photo/1

Deixe um comentário

Previous Post
Contacte a CpC para pedidos de ajuda, orientações, conselhos e propor iniciativas:

← Back

Your message has been sent

Artigos recentes

“A cibersegurança é a arte de proteger a informação digital sem restringir a inovação.”
— Satya Nadella

Iniciativa CpC: Cidadãos pela Cibersegurança

Missão CpC: Cidadãos pela Cibersegurança

Empoderar indivíduos e comunidades para navegar com segurança no mundo digital.

A nossa visão: Um mundo digital onde todos estejam em segurança.

Tópicos

UTILITÁRIO

SIGA-NOS

Site no WordPress.com.