.png)
há 1 semana
6
Um post publicado nesta sexta-feira (28) no BreachForums — principal fórum da dark web voltado para compra e venda de dados roubados — alega que um hacker possui 43.847.219 registros de clientes do iFood.
Segundo o post, o agente identificado como "bacen” está em posse de um o pacote informações sensíveis. Entre elas, estão: CPFs, nomes completos, endereços de e-mail, números de telefone e dados de cartão de crédito.
Se confirmado, configuraria um dos maiores vazamentos de dados de consumidores já registrados no Brasil.
A publicação não é uma oferta de venda convencional, trata-se de uma extorsão cibernética do tipo "pague ou vaze" (pay-or-leak). Esse tipo de “sequestro” acontece quando o criminoso ameaça divulgar os dados progressivamente, caso a empresa-alvo não entre em contato até o prazo estipulado.
No post, o autor da invasão estipulou 10 de junho como data limite e afirmou que, a cada dia de atraso, registros serão expostos. E, para piorar a situação, o suposto preço estipulado seria escalado até a base ser completamente divulgada.
Economia e mercado 28 Mai
Economia e mercado 28 Mai
LGPD sob ataque
O volume e a natureza dos dados alegadamente comprometidos colocam a gravidade do caso em nível crítico. CPFs vinculados a dados financeiros e de contato formam uma combinação ideal para fraudes de identidade em larga escala, phishing direcionado, ataques de smishing via SMS e tomada de contas.
Todos esses riscos que afetariam diretamente dezenas de milhões de brasileiros caso o vazamento seja genuíno. O post também incluía amostras de dados de usuários e de contas administrativas, o que sugere acesso a diferentes camadas do sistema.
Do ponto de vista regulatório, a exposição seria igualmente grave para a empresa. A LGPD — Lei Geral de Proteção de Dados — prevê multas que podem chegar a 2% do faturamento bruto da organização no Brasil, limitadas a R$ 50 milhões por infração.
Então, um vazamento dessa escala envolvendo dados financeiros e identificadores nacionais abriria caminho tanto para autuações da ANPD — Autoridade Nacional de Proteção de Dados — quanto para ações civis por parte dos usuários afetados.
O que o iFood diz sobre o suposto ataque?
Em nota oficial, a empresa nega o vazamento de qualquer dado dos clientes, mas confirma que o caso está sob investigação interna para saber a fonte dessa informação.
“Não encontramos evidência de que 43 milhões de dados de usuários foram vazados e informamos que não houve qualquer comprometimento de senhas, meios de pagamento ou dados financeiros de usuários e parceiros.
Nossos protocolos de segurança foram acionados, e o iFood seguirá investigando o relato de incidente. A segurança da nossa comunidade é prioridade e atuamos em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD)”, diz o iFood.
Considerando a experiência pessoal como cliente, há uma incongruência com os supostos dados coletados pelo hacker. Isso porque, ao trocar de dispositivo móvel, o aplicativo do iFood não transfere os dados do cartão de um aparelho para o outro ao logar na conta.
Isso quer dizer que a empresa não costuma armazenar os dados do cartão de crédito dos usuários, significando que essa informação pode ser um blefe do invasor para amedrontar a empresa e os usuários.
Mesmo assim, o caso reacende o debate sobre a segurança de dados em plataformas com alto volume de transações no Brasil, especialmente aquelas que armazenam informações financeiras combinadas com documentos pessoais.
Com um prazo de extorsão se aproximando e a empresa se abstendo de culpa, os próximos dias serão determinantes para entender a real dimensão do incidente.
Veja tamb?m
English (US) · 
Portuguese (BR) ·