A rede alemã de supermercados Lidl notificou clientes das lojas online da Alemanha, Bélgica e Holanda sobre um vazamento de dados que atingiu um prestador de serviços de TI terceirizado. A companhia — pertencente ao Schwarz Group, com cerca de 12.900 lojas em 32 países e 395 mil funcionários — afirma que a plataforma de e-commerce não foi comprometida, mas dados pessoais armazenados em uma base separada foram exfiltrados por atacantes ainda não identificados.
Segundo as notificações enviadas na sexta-feira aos clientes afetados, invasores obtiveram acesso por um curto período a um arquivo mantido por um fornecedor de TI da Lidl e exfiltraram parte do conteúdo. A empresa foi comunicada do incidente na semana anterior à divulgação e afirma que o prestador tomou medidas imediatas para conter o acesso.
Os dados subtraídos incluem títulos de tratamento, nomes e sobrenomes, números de telefone, endereços de e-mail, datas de nascimento e números de cliente. A Lidl afirma que não há indício de comprometimento de senhas, endereços de cobrança ou entrega, dados bancários ou informações de pagamento, e que as contas dos clientes seguem seguras.
A empresa registrou boletim de ocorrência criminal e notificou a autoridade de proteção de dados competente. Até o momento, não divulgou publicamente o nome do fornecedor de TI comprometido, tampouco o número de clientes afetados ou a atribuição do ataque a um grupo específico. Também não confirmou nem descartou envolvimento de ransomware.
O incidente enquadra-se no que a Verizon DBIR classifica como “third-party breach”: o atacante não invadiu a empresa vítima do ponto de vista jurídico e reputacional, mas sim um dos elos da cadeia de fornecimento que processa dados em seu nome. Nos últimos 24 meses, essa categoria saltou de 15% para 30% dos vazamentos documentados no relatório anual, e casos como Snowflake (2024), Change Healthcare (2024) e MOVEit (2023) mostraram como um único fornecedor comprometido reverbera por dezenas ou centenas de organizações.
“Não há indícios de que a informação subtraída tenha sido utilizada indevidamente, mas os clientes afetados devem permanecer atentos a e-mails de phishing e tentativas de fraude direcionada, uma vez que os dados expostos podem ser usados em golpes personalizados.”
Comunicado enviado pela Lidl aos clientes
Nomes, telefones, e-mails e datas de nascimento formam um conjunto suficiente para operações de smishing e vishing altamente direcionadas, além de facilitar processos de recuperação de conta fraudulentos em serviços que aceitam data de nascimento como fator de verificação. A ausência de senhas ou dados de cartão diminui o risco financeiro imediato, mas amplia a superfície para fraudes de engenharia social.
O caso Lidl reforça três tendências observadas no cenário europeu de 2026. Primeira: varejistas de grande porte continuam terceirizando gestão de bases de clientes para reduzir custos de infraestrutura, mas raramente auditam com o mesmo rigor a postura de segurança desses fornecedores. A due diligence contratual do GDPR exige, mas raramente entrega, controles verificáveis.
Segunda: o padrão de comunicação da Lidl segue o playbook conservador europeu — muito conteúdo defensivo, pouco detalhe operacional. A ausência do nome do fornecedor comprometido é problemática. Sem essa informação, outras empresas que possam usar o mesmo prestador não conseguem avaliar sua própria exposição, e reguladores em outros mercados atendidos por esse fornecedor operam no escuro.
Terceira: a ausência de senhas e dados de pagamento tem sido usada como blindagem reputacional, mas subestima o dano real. Em um ecossistema onde dumps de credenciais são reciclados diariamente, o valor marginal de um vazamento está justamente nos identificadores que permitem correlacionar bases e enriquecer perfis. Um nome, telefone e data de nascimento verificados valem, no mercado underground, mais do que uma senha reutilizada de 2019.
Fonte: The Record
Atacantes injetaram info-stealer, cripto-stealer e RAT em quatro pacotes AsyncAPI. Malware usa IPFS e nós…
Chaotic Eclipse publicou o LegacyHive, exploit funcional contra o User Profile Service em todas as…
ANPD colocou IA entre os 4 eixos de fiscalização 2026-2027, planejou 20 ações para 2027…
DuneSlide (CVE-2026-50548/50549) leva o Cursor a RCE zero-click. Junto com EchoLeak e CurXecute, marca a…
Nemotron 3 Ultra chega com 550B/55B ativos em MoE Mamba-Attention, 400+ tok/s e liderança entre…
Google evoluiu a Vertex AI no Gemini Enterprise Agent Platform: ADK Python-native, Memory Bank persistente,…