O gigante holandês de cosméticos Rituals confirmou uma violação de dados que afeta o seu programa de fidelidade My Rituals, com atacantes a obterem acesso não autorizado aos dados pessoais dos seus 41 milhões de membros. A violação foi descoberta em abril de 2026 e divulgada publicamente a 23 de abril.
A violação de dados Rituals: o que aconteceu
A Rituals, marca de cosméticos sediada em Amesterdão com mais de 1.400 boutiques em 33 países, detetou um download não autorizado da sua base de dados de membros. O programa My Rituals oferece recompensas exclusivas e descontos personalizados, armazenando para isso uma quantidade significativa de dados pessoais. A empresa iniciou uma investigação forense, bloqueou o acesso dos atacantes e notificou as autoridades competentes. Nenhum grupo criminoso reivindicou a responsabilidade e a Rituals não encontrou provas de que os dados roubados tenham sido publicados online.
Que dados pessoais foram roubados
Segundo a divulgação oficial da Rituals, os atacantes acederam às seguintes informações dos clientes:
- Nome completo
- Endereço de e-mail
- Número de telefone
- Data de nascimento
- Género
- Morada
- Loja preferida e tipo de conta
A violação afetou principalmente membros na Europa e no Reino Unido. Os clientes afetados foram notificados diretamente por e-mail.
As passwords e dados de pagamento não foram expostos
A Rituals confirmou que as passwords das contas e os dados de cartão bancário não faziam parte da base de dados comprometida. Contudo, os especialistas em cibersegurança alertam: a combinação de nome, morada, data de nascimento e contactos é mais do que suficiente para ataques de phishing altamente direcionados e, em alguns casos, para roubo de identidade.
Porque as violações de programas de fidelidade são mais perigosas do que parecem
Os dados dos programas de fidelidade são frequentemente subestimados como vetor de ameaça. Com 41 milhões de registos em jogo, a escala potencial de ataques subsequentes é considerável. Os criminosos podem usar estes dados para:
- Criar e-mails de phishing convincentes que mencionam o seu nome real e estado de fidelidade
- Cometer fraude de identidade, incluindo pedidos fraudulentos de crédito
- Atacar vítimas por SMS imitando comunicações oficiais da Rituals
- Combinar com outros dados roubados para perfis de engenharia social detalhados
Casos como este destacam porque os utilizadores comuns recorrem cada vez mais a VPNs como camada básica de proteção, especialmente ao aceder a contas de membros através de Wi-Fi público.
O que os clientes afetados devem fazer agora
- Fique alerta para e-mails de phishing que usem o seu nome real ou mencionem a sua adesão Rituals
- Não clique em links em e-mails ou SMS inesperados supostamente da Rituals
- Altere a sua password Rituals por precaução, mesmo que as passwords não tenham sido diretamente roubadas
- Ative a autenticação de dois fatores na sua conta de e-mail
- Monitorize atividade incomum em contas ligadas ao endereço de e-mail registado na Rituals
