Mercado fechado

Brecha de segurança no iFood expõe dados e pedidos de usuários

Felipe Demartini

Uma grave brecha de segurança expôs dados de usuários do iFood na manhã desta sexta-feira (19). Em uma falha que parece ter durado apenas alguns minutos, clientes do aplicativo de delivery foram surpreendidos quando acessaram suas contas e se depararam com informações, endereços e histórico de pedidos de terceiros, além de dados pessoais como CPF, e-mails e nomes completos de desconhecidos.

Os reflexos da brecha pareciam variar, sem um comportamento claro de acordo com aparelho utilizado para acesso ao aplicativo ou região. Alguns usuários disseram ter acesso a perfis completos de terceiros, enquanto outros relataram endereços estranhos que apareciam como se cadastrados em suas próprias contas ou um histórico de pedidos que não correspondia ao próprio. Em alguns casos, também era possível acompanhar entregas em andamento, consultar valores gastos e realizar avaliações em ordens anteriores.

Brecha no iFood permitiu acesso a dados de terceiros aleatoriamente, com impacto, principalmente, no histórico de pedidos e ordens ativas de outros usuários (Imagem: Reprodução/Felipe Demartini)

Na maior parte das ocorrências analisadas pela reportagem do Canaltech, entretanto, a falha estava localizada no sistema de histórico de pedidos. Bastava uma atualização da página para que listas aleatórias e pertencentes a usuários diferentes aparecessem, permitindo não apenas a visualização de ordens feitas como também de gastos recentes e a postagem de avaliações em nome dos usuários comprometidos.

A variação no erro foi confirmada em testes realizados pelo Canaltech. Nosso apresentador Adriano Ponte, por exemplo, viu pedidos de um usuário que mora no bairro do Tucuruvi, em São Paulo (SP), aparecendo em sua conta, enquanto o editor Sergio Oliveira, em diferentes atualizações, acessou ordens pertencentes a clientes de Salvador (BA), Fortaleza (CE) e também da capital paulista.

Nos casos mais graves, perfis completos de usuários puderam ser acessados por outros, com direito a lista de endereços cadastrados, dados pessoais e até o acompanhamento de pedidos pelo mapa (Imagem: Reprodução/Felipe Demartini)

Em minha própria experiência, durante os testes, também foi possível acompanhar o andamento de um pedido ativo de uma padaria de São Paulo para um usuário da cidade, com direito a visualização do mapa e trajeto do entregador até o destino. Ao mesmo tempo em que realizávamos nossos próprios testes, diferentes relatos de problemas no aplicativo do iFood surgiam nas redes sociais, apesar de não existirem informações sobre compras não autorizadas feitas em nome de terceiros.

Brechas ainda mais graves foram detectadas pela nossa equipe. A analista de SEO do Canaltech, Guadalupe Carniel, foi capaz de acessar endereços de um usuário de Brasília como cadastrados em seu perfil, incluindo, curiosamente, um registrado como pertencente à CNN Brasil. Já a analista de contas Nathalia Anastácio chegou a visualizar um perfil completo em nome de outra pessoa. Os dados sensíveis comprometidos não foram armazenados por motivos de segurança.

Os problemas parecem ter sido solucionados minutos após o surgimento dos relatos nas redes sociais e novos testes realizados pela reportagem não resultaram na exposição de dados de terceiros. A recomendação é que os usuários fiquem atentos principalmente aos cartões de créditos cadastrados no aplicativo. Vale a pena prestar atenção em cobranças indevidas e, caso alguma seja identificada, entrar em contato imediatamente com a emissora para informar sobre o problema e solicitar o bloqueio.

Atualização 19/06/2020 11h35: Em resposta ao Canaltech, o iFood informou que o problema foi causado por um erro de atualização, que durou cerca de 30 minutos. De acordo com a empresa, os dados de terceiros foram exibidos aos clientes de forma aleatória, mas não era possível acessar contas diretamente ou realizar pedidos em nome delas. Cartões de crédito não teriam sido comprometidos já que, de acordo com o serviço, essas informações ficam armazenadas apenas no dispositivo dos usuários.

A empresa não informou o número de pessoas atingidas, mas disse ter deslogado os perfis impactados, que ficaram impedidos de realizarem pedidos ao longo da duração da falha. O problema, segundo o iFood, já foi solucionado e os afetados devem receber comunicações sobre o ocorrido. Confira o comunicado na íntegra:

Na manhã de sexta-feira, dia 19/06, a plataforma do iFood passou por um problema de atualização com duração de cerca de 30 minutos. A ocorrência foi rapidamente solucionada por sua equipe de tecnologia. A empresa afirma que não houve qualquer tipo de ciberataque à plataforma.

Durante esse breve período, o sistema exibiu dados pessoais dos usuários de maneira aleatória. A empresa reforça que, ainda assim, não foi possível que clientes fizessem pedidos por outras pessoas ou acessassem contas de terceiros.

A empresa esclarece que os meios de pagamento ficam gravados apenas nos dispositivos dos próprios usuários, e não são armazenados nos bancos de dados da plataforma. Dessa forma, os dados referentes a esses cartões não sofreram qualquer vazamento.

Por precaução, a plataforma deslogou os usuários impactados, que ficaram impossibilitados de realizar pedidos neste período. A situação já está normalizada e os usuários impactados estão sendo comunicados do ocorrido.

O iFood está à disposição das autoridades para eventuais esclarecimentos adicionais e reforça seu compromisso com a segurança das informações de restaurantes e consumidores.


Fonte: Canaltech