O iFood trocou dados de usuários em seu aplicativo nesta sexta-feira (19). Diversos relatos contam que acessaram os pedidos pelo app e viram delivery de outras pessoas – ao acessar informações sobre a conta, conseguiam ver dados como nome, endereço, telefone, CPF desse outro usuário.
Basicamente, as pessoas estavam autenticadas em suas contas, mas viam informações de outras pessoas. Era possível acessar histórico de pedidos, conversas do chat e ver os endereços residenciais e de trabalho que foram cadastrados.
Vão na aba de PEDIDOS do ifood de vocês e vejam como tá.
O meu tá mostrando esses pedidos de BLUMENAU. Até aí tudo bem. Mas eu moro no Rio de Janeiro. pic.twitter.com/VCU1qwVl6H
— Krishna (@kribshna) June 19, 2020
A falha deixou muita gente assustada e pipocaram sugestões para apagar os cartões de crédito cadastrados ou até mesmo a conta por completo. Ainda não está claro qual conta seria apagada caso o usuário decidisse tomar essa ação.
Pelo menos no site do iFood, há a informação de que os dados de cartão de crédito são armazenados somente localmente – quem já trocou de celular sabe que é preciso recadastrar os cartões depois do primeiro login. Aparentemente ninguém viu o cartão de ninguém.
O Gizmodo Brasil conversou com uma pessoa que viu o pedido de um outro usuário e ela confirmou que não havia cobranças indevidas em seu cartão de crédito e que o app voltou ao normal alguns minutos depois.
Não se sabe a extensão do problema e quantos usuários foram atingidos.
Atualização às 11h40 com posicionamento do iFood.
Em um comunicado enviado alguns minutos depois da publicação desta publicação, o iFood não esclareceu quantas pessoas foram afetadas, mas afirmou que o problema durou cerca de 30 minutos e que não houve um ciberataque. De acordo com a companhia, não era possível “que clientes fizessem pedidos por outras pessoas ou acessassem contas de terceiros”, apesar de visualizarem dados que não eram seus.
“A empresa esclarece que os meios de pagamento ficam gravados apenas nos dispositivos dos próprios usuários, e não são armazenados nos bancos de dados da plataforma. Dessa forma, os dados referentes a esses cartões não sofreram qualquer vazamento”, diz o comunicado.
Por fim, a companhia afirmou que deslogou os usuários impactados e está comunicando aqueles que foram afetados, além de estar “à disposição das autoridades para eventuais esclarecimentos adicionais”.
Sextou no @iFood …
Alguém fez alguma coisa errada e cada vez que eu entro no app aparecem pedidos e endereços que não são meus ? pic.twitter.com/drzwjPox9j
— Carla Vieira (@carlaprvieira) June 19, 2020
ALERTA: Cancelem cartões e endereços do aplicativo do IFood. Alguma coisa aconteceu e todos os dados e pedidos estão trocados. Algum vazamento? Não sei, mas fica o aviso.
— Judite (@juditecypreste) June 19, 2020