iFood expõe pedidos, endereço e CPF de outros usuários no app

Uma falha no iFood mostra dados pessoais de outros usuários na sua conta: isso significa que você pode ter acesso ao nome completo deles, assim como endereço, e-mail, número de celular, CPF, quatro últimos dígitos do cartão de crédito, histórico de pedidos e chats realizados com o entregador. A empresa diz ao Tecnoblog que o problema foi resolvido, e garante que não houve vazamento de dados de pagamento.

• Projeto de lei em SP quer obrigar placa vermelha a entregadores de aplicativos
• Como parar de receber notificações e SMS de iFood, Rappi e Uber Eats

Alguns usuários no Twitter relatam nesta sexta-feira (19) que, ao acessar a aba Pedidos no app do iFood, eles conseguem ver o histórico de pedidos de outra pessoa — entregas realizadas em outra cidade, estado ou até em outro país (como o México). Ao fechar o aplicativo e abri-lo de novo, podem aparecer os dados de uma pessoa diferente.

Se você entrar em cada um dos pedidos, verá dados como itens solicitados, endereço de entrega, valor total e quatro últimos dígitos do cartão, caso o pagamento tenha sido feito diretamente pelo app.

A usuária @bellacristinap viu pedidos e endereços do Ceará e do México em seu perfil:

Segundo outro usuário do Twitter, é possível ver os quatro últimos dígitos do cartão usado no pagamento pelo iFood:

iFood expõe dados pessoais de clientes

Na aba Perfil, é possível visualizar os chats realizados com entregadores em pedidos anteriores. Também dá para encontrar todos os endereços de entrega que foram cadastrados na conta. E se você for em Editar perfil, lá estarão o endereço de e-mail, número de telefone e CPF (caso o usuário tenha inserido).

O iFood exibiu dados de outra pessoa para o usuário @guilhermesre do Twitter; ao fechar o app e abrir de novo, apareceu o perfil de alguém diferente:

Não há como ver as formas de pagamento salvas pelo outro usuário: sua carteira segue apenas com os cartões de crédito e débito que você cadastrou. Os usuários se assustaram porque isso dá a impressão de que outra pessoa invadiu sua conta para realizar cobranças indevidas; não há relatos de que isso tenha acontecido.

iFood resolve falha e explica o que ocorreu

O iFood afirma ao Tecnoblog que esta falha foi resolvida: os sistemas exibiam dados “de maneira aleatória”, e não era possível fazer pedidos em nome de outras pessoas. Além disso, não ocorreu vazamento de números completos de cartão: não haveria como acessar esses dados de pagamento porque, segundo a empresa, eles “ficam gravados apenas nos dispositivos dos próprios usuários”.

Como precaução, o iFood requer que os usuários impactados façam login de novo; eles estão sendo avisados sobre o que aconteceu. Este é o posicionamento na íntegra:

Na manhã de sexta-feira, dia 19/06, a plataforma do iFood passou por um problema de atualização com duração de cerca de 30 minutos. A ocorrência foi rapidamente solucionada por sua equipe de tecnologia. A empresa afirma que não houve qualquer tipo de ciberataque à plataforma.

Durante esse breve período, o sistema exibiu dados pessoais dos usuários de maneira aleatória. A empresa reforça que, ainda assim, não foi possível que clientes fizessem pedidos por outras pessoas ou acessassem contas de terceiros.

A empresa esclarece que os meios de pagamento ficam gravados apenas nos dispositivos dos próprios usuários, e não são armazenados nos bancos de dados da plataforma. Dessa forma, os dados referentes a esses cartões não sofreram qualquer vazamento.

Por precaução, a plataforma deslogou os usuários impactados, que ficaram impossibilitados de realizar pedidos neste período. A situação já está normalizada e os usuários impactados estão sendo comunicados do ocorrido.

O iFood está à disposição das autoridades para eventuais esclarecimentos adicionais e reforça seu compromisso com a segurança das informações de restaurantes e consumidores.

Atualizado às 11h45

Receba mais sobre iFood na sua caixa de entrada

E-mail:

* ao se inscrever você aceita a nossa política de privacidade