Você entra no café, conecta no Wi-Fi, clica em “Entrar com Facebook” e pronto: internet liberada. Do outro lado do balcão, o gestor vê seu nome, e-mail e cidade aparecerem no painel do hotspot. Esse fluxo acontece centenas de milhares de vezes por dia no Brasil, o segundo país com mais hotspots públicos do mundo, com quase 365 mil pontos ativos.
A pergunta que quase ninguém faz: como proteger dados no login social Wi-Fi? E ela vale para os dois lados. O gestor de PDV precisa coletar leads sem virar alvo da ANPD. O cliente precisa conectar sem entregar sua vida digital de bandeja.
Este guia responde dos dois lados. Com o fluxo técnico que ninguém detalha, os riscos específicos do login social (não os genéricos de Wi-Fi público) e o que fazer na prática, tanto na gestão do captive portal quanto na tela do celular.
Veja mais vídeos como esse em nosso canal do YouTube!
O que acontece quando você clica em “Entrar com Facebook” no Wi-Fi
A maioria trata o login social Wi-Fi como botão mágico: clicou, conectou. Mas entre o clique e a internet liberada, acontece uma cadeia que define quem acessa quais dados seus.
- Seu dispositivo se associa ao access point. O captive portal intercepta a primeira requisição HTTP e redireciona para a tela de login.
- Quando você escolhe “Entrar com Facebook” (ou Google, Apple, LinkedIn), o portal envia você para o provedor de identidade via protocolo OAuth 2.0.
- O Facebook ou Google mostra quais dados serão compartilhados: nome, e-mail, foto, cidade, faixa etária. Cada item é um “escopo” que o operador do Wi-Fi pediu.
- Depois que você autoriza, o provedor emite um token de acesso (JWT) que o captive portal usa para puxar seus dados via API.
- O sistema do hotspot recebe os dados, salva no banco e libera a conexão.
O protocolo em si não é o problema. OAuth oferece controle granular via escopos e permite revogação do acesso. O problema é o que acontece depois: como o operador armazena esses dados, por quanto tempo, com qual base legal e quem mais tem acesso.
E isso nos leva à pergunta que poucos fazem: afinal, o que exatamente o dono do estabelecimento recebe do seu login?

Quais dados o estabelecimento realmente recebe
Existe um mito comum: “se eu logar com Facebook, o dono do café vê minhas fotos, meus posts, minhas mensagens.” Não funciona assim.
O que o operador recebe depende dos escopos configurados no captive portal. Cada provedor entrega coisas diferentes:
Pelo Facebook, os escopos mais comuns retornam nome completo, e-mail, foto de perfil, faixa etária, cidade e gênero. Antes de 2018, era possível acessar lista de amigos e likes. Depois do caso Cambridge Analytica, a Meta restringiu drasticamente o que apps externos podem pedir.
Pelo Google, o escopo padrão (openid + profile + email) entrega nome, e-mail, foto e idioma. Não inclui histórico de navegação, agenda ou Drive.
Pela Apple, o Sign In entrega nome e e-mail, com a opção de Hide My Email que gera um endereço aleatório redirecionando para o real. Dos três, é o que menos expõe.
O que o operador não recebe por nenhum deles: senhas, mensagens, histórico de navegação, dados bancários, conteúdo de posts privados.
Mas aqui entra um ponto que costuma ficar de fora das explicações. O operador não precisa da API social para coletar mais. Depois que você conecta na rede dele, ele pode (se quiser e se não respeitar a lei) monitorar URLs acessadas, tempo de permanência, dispositivo usado e frequência de visita. Plataformas de Wi-Fi Marketing usam até probe requests, sinais que seu celular emite antes mesmo de você logar, para análise de presença.
Com esse volume de dados fluindo, os riscos específicos do login social vão além do que a maioria imagina. E não estamos falando só de hacker interceptando pacotes.
Os riscos reais do login social Wi-Fi
Todo guia de segurança em Wi-Fi público fala de man-in-the-middle. É um risco válido. Mas no contexto específico do login social, existem vetores que merecem atenção separada.
Phishing via captive portal falso
Um atacante cria uma rede Wi-Fi com o mesmo nome do estabelecimento (spoofing de SSID) e simula o pop-up de login do Facebook ou Google. Você digita suas credenciais pensando que está autorizando o OAuth, mas está entregando login e senha reais para o atacante. Spoofing de SSID está entre os sete riscos clássicos mapeados em redes Wi-Fi públicas, e o login social amplifica o estrago: com uma credencial do Google, o atacante acessa Gmail, Drive, Fotos e qualquer serviço vinculado.
Coleta excessiva sem base legal
O operador pede escopos amplos no OAuth (nome, e-mail, cidade, foto, gênero, likes) mas só precisaria do e-mail para liberar o acesso. Isso viola o princípio de minimização da LGPD (Art. 6, III). Cada campo coletado sem necessidade vira passivo jurídico, não ativo de marketing.
Armazenamento inseguro no backend
O dado pode chegar bem ao servidor e ficar exposto por configuração errada. O caso mais emblemático no Brasil: em 2022, a WSpot teve um bucket S3 da AWS público, vazando dados de 2 a 2,5 milhões de pessoas. Nome, CPF, e-mail e senhas em texto puro, acessíveis por qualquer navegador. O erro foi uma permissão de bucket. Não um ataque sofisticado.
Token OAuth capturado
Pesquisa publicada em 2026 confirma que credenciais OAuth de captive portals são alvo de sequestro e vazamento. Com o token de acesso, um atacante consulta os dados do seu perfil social até o token expirar ou ser revogado.
Consentimento amarrado
Muitos captive portals condicionam o acesso ao Wi-Fi à aceitação de termos que incluem marketing. Isso viola a LGPD: consentimento para conectar e consentimento para receber campanhas precisam ser independentes. Se o cliente não pode usar o Wi-Fi sem aceitar propaganda, o consentimento não é livre.
Se você é gestor de PDV, a questão não é “se” vai coletar dados. É como coletar certo. E “certo” tem nome: LGPD.
Para o gestor: como proteger os dados do cliente no captive portal
Quem opera um hotspot social com login via Facebook, Google ou qualquer outro provedor é, pela LGPD, controlador dos dados pessoais capturados. Responsabilidade direta sobre coleta, armazenamento, uso e descarte. Para implementar essas obrigações de ponta a ponta, veja o guia completo de adequação do Wi-Fi à LGPD.
Aqui vão as obrigações práticas, no nível de implementação:
Defina a base legal antes de ligar o hotspot
A base mais segura para login social é o consentimento (Art. 7, I da LGPD): o usuário autoriza, de forma explícita, quais dados compartilha e para qual finalidade. Legítimo interesse é arriscado para perfis de marketing, já que a ANPD vem priorizando falhas de governança e base legal frágil em suas fiscalizações. Se o Wi-Fi faz parte do serviço contratado (hotel, coworking), a execução de contrato (Art. 7, V) pode servir para a conectividade. Mas para marketing, o consentimento separado é inegociável.
Separe os consentimentos no portal
Nada de checkbox único dizendo “Aceito os termos de uso”. O captive portal precisa separar pelo menos três camadas: consentimento para acesso à rede (obrigatório para conectar), opt-in para marketing (facultativo, desmarcado por padrão) e, se aplicável, autorização para compartilhamento com parceiros.
O termo de privacidade deve estar em português brasileiro, acessível em um clique, mencionando dados coletados, finalidade, prazo de retenção, canal do DPO e direitos do titular.
Configure escopos mínimos no OAuth
Se você precisa do e-mail para enviar pesquisa de satisfação, peça o e-mail. Não precisa de foto, lista de amigos ou gênero. Cada campo adicional é um dado que você precisa proteger, justificar e responder por ele em caso de incidente. Minimização não é burocracia, é redução de superfície de ataque e de risco regulatório ao mesmo tempo.
Implemente segurança técnica real no backend
O caso WSpot mostrou que o elo fraco pode ser uma configuração de bucket na nuvem. Medidas que deixam de ser opcionais quando você opera captive portal com login social:
- HTTPS obrigatório em todo o fluxo do portal
- Cifragem em repouso (AES-256) para dados pessoais armazenados
- Tokens JWT com expiração curta e armazenamento em cookies httpOnly + Secure + SameSite
- MFA para acesso ao painel administrativo do hotspot
- Segregação entre rede guest e rede interna do estabelecimento
- Logs de acesso imutáveis (Marco Civil exige retenção mínima de 1 ano)
- Testes de penetração periódicos
Publique o DPO e mantenha o RIPD atualizado
Em dezembro de 2024, a ANPD abriu procedimento contra 20 grandes empresas por falta de DPO. O encarregado de dados precisa estar nomeado, com canal de contato público no site. Se o captive portal faz perfilamento ou coleta dados de localização, o RIPD (Relatório de Impacto à Proteção de Dados) é obrigatório.
A multa da LGPD chega a 2% do faturamento, limitada a R$ 50 milhões por infração. A ANPD já aplicou seis sanções administrativas desde 2023. O enforcement saiu do campo teórico.
Tudo isso protege o cliente. Mas e o cliente, como protege a si mesmo?
Para o usuário: como se blindar ao usar login social em Wi-Fi
Você não controla o backend do café. Mas controla o que entrega e como se comporta na rede.
Antes de conectar
Confirme o nome exato da rede com o atendente. Redes falsas usam nomes parecidos (ex: “Cafe_WiFi” vs. “Café WiFi Free”). Desative a conexão automática no celular para evitar reconexão em redes clonadas. E, quando disponível, prefira Apple Sign In: o recurso Hide My Email gera um endereço aleatório que redireciona para o seu, sem expor o e-mail real ao operador.
Durante a conexão
VPN ativa é a camada mais eficaz. Ela cifra todo o tráfego entre seu dispositivo e o servidor, tornando inútil qualquer tentativa de interceptação na rede local. Evite transações sensíveis (banco, e-commerce com cartão salvo, e-mail corporativo) sem VPN. E se o captive portal não exibir cadeado HTTPS no momento do login social, feche a aba. O fluxo OAuth legítimo sempre redireciona para a página do Facebook ou Google em HTTPS.
Depois de desconectar (a parte que quase ninguém faz)
Revogue o acesso do app. No Facebook: Configurações > Apps e Sites > remova o app do hotspot. No Google: Gerenciar conta > Segurança > Apps de terceiros > remova o acesso. No Apple: Ajustes > Apple ID > Senha e Segurança > Apps que usam Apple ID. A revogação invalida o token e impede novas consultas aos seus dados.
Limpe cookies do navegador do período e verifique sessões ativas na conta. Ative autenticação multifator em tudo que importa. MFA não impede que um token OAuth seja capturado, mas impede que o atacante use suas credenciais para acessar a conta diretamente.
Paranoia? Talvez. Mas 2 milhões de brasileiros descobriram em 2022 que o risco não é teórico.
O caso WSpot: o que 2 milhões de cadastros expostos ensinam
Em 2022, pesquisadores da SafetyDetectives descobriram que a WSpot (hoje Mambo WiFi), empresa brasileira de gestão de Wi-Fi público, mantinha um bucket S3 da Amazon sem proteção, expondo 10 GB de dados em cerca de 226 mil arquivos. Nome, endereço residencial, e-mail, CPF e senhas em texto puro. Entre 2 e 2,5 milhões de usuários afetados.
A empresa atribuiu o problema a “falta de padronização no gerenciamento da informação”. A correção veio depois da notificação dos pesquisadores. O erro não foi um zero-day ou um ataque de estado-nação. Foi um bucket público por configuração padrão.
Três lições diretas para quem opera captive portal com login social:
- Ser especialista no produto não garante segurança no dado. A WSpot vivia de Wi-Fi guest. O problema estava na higiene básica de cloud.
- Senhas em texto puro em 2022. Hashing de senhas e cifragem de dados pessoais não são diferenciais. São piso mínimo de operação.
- Quanto mais dados você coleta, maior o estrago quando algo dá errado. Minimização não é só exigência legal. É gestão de risco.
O caso virou referência institucional na comunidade LGPD brasileira. E levanta a pergunta: como um captive portal deveria funcionar para que isso não se repita?
O que um captive portal bem configurado entrega para os dois lados
Proteger dados no login social Wi-Fi não é travar a coleta. É construir uma arquitetura que combina camadas técnicas, jurídicas e de experiência.
Do lado do gestor, o captive portal precisa operar com escopos OAuth mínimos, consentimentos separados (conectividade vs. marketing), cifragem em trânsito e repouso, termos de privacidade claros em português, DPO nomeado e RIPD atualizado. A plataforma que roda o hotspot precisa já nascer com essas camadas embutidas, não como improviso sobre um roteador genérico.
Do lado do usuário, o portal precisa ser transparente sobre quais dados coleta e por quê. Oferecer alternativa ao login social (e-mail simples ou click-through). Disponibilizar canal visível para exclusão de dados. E garantir segurança real na rede, com segregação de tráfego e monitoramento.
O ponto de convergência: quando o Wi-Fi é tratado como canal de captura com governança, gera dados mais qualificados e menos risco. O gestor constrói base ativa com consentimento real, que converte mais porque o lead confiou no processo. O cliente conecta sabendo que está protegido.
E vale olhar para frente. Estudo de março de 2026 testou passkeys FIDO2 em captive portal com 50 participantes e obteve 100% de taxa de conclusão no registro, com usabilidade igual ou superior à de senhas. A tendência para os próximos 12 a 24 meses é que redes premium comecem a substituir login social por passkeys, eliminando a necessidade de compartilhar dados de redes sociais para conectar.
Se o seu estabelecimento ainda opera Wi-Fi guest com senha no guardanapo ou portal sem adequação, é aqui que a lógica muda. E se a captura no Wi-Fi já funciona, o WhatsApp Empresarial fecha o ciclo transformando lead em conversa, no automát Veja também o artigo: Heatmap Wi-Fi: como fazer e acabar com zona morta.ico.

Perguntas frequentes
Login social Wi-Fi é menos seguro que digitar e-mail e senha?
Não necessariamente. O login social usa OAuth 2.0, que não compartilha sua senha com o operador. O risco está em portais falsos (phishing), escopos excessivos e armazenamento inseguro no backend. Em um portal legítimo com HTTPS e escopos mínimos, o login social pode ser mais seguro que um formulário que guarda senha em texto puro.
O dono do Wi-Fi consegue ver minha senha do Facebook ou Google?
Não. O fluxo OAuth entrega ao operador um token de acesso e os dados autorizados nos escopos (nome, e-mail, foto). A senha nunca trafega entre o provedor de identidade e o captive portal. O risco real existe quando o portal é falso e simula a tela do provedor para capturar credenciais diretamente.
Como revogar o acesso que um hotspot tem aos meus dados?
No Facebook: Configurações > Apps e Sites > remova o app. No Google: Gerenciar conta > Segurança > Apps de terceiros > remova. No Apple: Ajustes > Apple ID > Senha e Segurança > Apps que usam Apple ID. Revogar invalida o token e bloqueia novas consultas aos seus dados pelo operador.
Qual a multa para quem opera Wi-Fi com login social sem adequação à LGPD?
Até 2% do faturamento do grupo econômico, limitada a R$ 50 milhões por infração (Art. 52 da LGPD). A ANPD também pode aplicar advertência, bloqueio ou eliminação dos dados e publicização da infração. Desde 2023, seis sanções administrativas já foram aplicadas, e o ritmo de fiscalização acelerou em 2024.
Passkeys podem substituir o login social em Wi-Fi?
Sim, e a tendência para 2026 em diante aponta nessa direção. Estudo controlado com 50 participantes testou passkeys FIDO2 em captive portal e obteve 100% de conclusão no registro. A adoção depende de suporte uniforme entre Android e iOS, mas redes premium já avaliam pilotos para eliminar a dependência de dados de redes sociais.
O Marco Civil da Internet conflita com a LGPD na retenção de dados do Wi-Fi?
Existe tensão. O Marco Civil (Art. 13) exige retenção de registros de conexão por mínimo de 1 ano. A LGPD exige minimização e descarte quando o dado não é mais necessário. A solução prática é reter o registro de conexão (IP, horário, duração) pelo prazo legal e anonimizar os dados pessoais associados (nome, e-mail) assim que a finalidade de marketing expirar.

