Na noite de ontem, dia 2 de novembro de 2021, foram corrompidos 6% dos títulos de empresas que atendem pelo iFood, segundo informou a empresa por meio de sua conta no Twitter. Com mais de 200 mil estabelecimentos cadastrados, o total dos títulos corrompidos alcança pelo menos 12 mil deles. Nos títulos de restaurantes, lanchonetes e outras empresas apareceram frases de elogio ao presidente da República e de ofensas a ex-presidentes e partidos políticos, por exemplo. A empresa explicou que o incidente foi causado pelo uso indevido de credencial de acesso ao banco de dados que estava em poder de um funcionário de empresa terceirizada com acesso privilegiado.
Uma pessoa com acesso privilegiado dessa ordem pode fazer muita alterações no banco de dados – inserir, modificar, excluir. O risco corrido pelo iFood nesse caso foi elevadíssimo.
Veja isso
Phishing pega carona em campanha do iFood
Banco de dados expõe 200 mil revisores falsos da Amazon
O iFood não dimensionou o acesso do terceirizado, ou seja, não explicou a que dados e informações o mencionado funcionário tinha acesso. O CISO Advisor perguntou à assessoria de imprensa do iFood se o banco de dados acessado contém informações financeiras (banco, agência, conta) das empresas parceiras e se contém dados pessoais ou informações sensíveis de responsável ou contato da empresas parceiras. A assessoria ainda não respondeu.
Usuários do aplicativo relataram indisponibilidade da plataforma e a impossibilidade de fazer pedidos. Às 00:13 de hoje a empresa publicou: “O incidente foi causado por meio da conta de um funcionário de uma empresa prestadora de serviço de atendimento que tinha permissão para ajustar informações cadastrais dos restaurantes na plataforma, e que o fez de forma indevida”.
Pela manhã o iFood publicou o seguinte comunicado: “
Na noite de 2 de novembro, o iFood identificou que aproximadamente 6% dos estabelecimentos cadastrados na plataforma tiveram seus nomes alterados. A empresa tomou medidas imediatas para sanar o problema e proteger os dados de restaurantes, consumidores e entregadores.
O incidente foi causado por meio da conta de um funcionário de uma empresa prestadora de serviço de atendimento que tinha permissão para ajustar informações cadastrais dos restaurantes na plataforma, e que o fez de forma indevida. O acesso da prestadora de serviço foi imediatamente interrompido, e os nomes dos restaurantes já foram restabelecidos.
É importante destacar que os meios de pagamento dos clientes estão seguros. Eles não são armazenados nos bancos de dados do iFood, ficando gravados apenas nos dispositivos dos próprios usuários, não tendo havido comprometimento de dados de cartões de crédito. Também não há qualquer indício de vazamento da base de dados pessoais de clientes ou entregadores
