Nesta terça-feira (02), o aplicativo de delivery iFood confirmou por meio de sua conta oficial no Twitter que foi vítima de um incidente envolvendo uma credencial de acesso de terceiro. Um funcionário da prestadora de serviços mudou nomes de restaurantes, alguns ganharam títulos de cunho político. Segundo o comunicado, aproximadamente 6% dos estabelecimentos cadastrados no aplicativo foram afetados.
O acesso da prestadora de serviço foi interrompido assim que o iFood identificou o incidente e os nomes dos restaurantes já foram corrigidos. A empresa ressaltou também que as informações de meios de pagamento não são armazenadas nos bancos de dados do aplicativo, ficam gravadas apenas nos dispositivos dos clientes.
“Não há qualquer indício de vazamento da base de dados pessoais de clientes ou entregadores cadastrados na plataforma”, declara o iFood. O aplicativo segue adotando medidas para sanar o problema e proteger os dados de restaurantes, consumidores e entregadores.
O caso movimentou o grupo de líderes de Segurança da Informação do Security Leaders. Na visão dos executivos, o ocorrido reforça o quanto os profissionais de SI precisam ficar atentos às atividades dos prestadores de serviços/terceiros no ambiente produtivo. Um incidente desta natureza, mesmo sem grandes impactos no quesito vazamento de dados sensíveis, pode gerar problemas relacionados à reputação da marca e confiança do consumidor.
Isso porque o acesso autorizado a terceiros requer atenção redobrada por parte da equipe de Segurança da empresa contratante. “É preciso manter um controle muito restrito da gestão de acessos, principalmente quando eles são privilegiados, tanto de terceiros quanto de funcionários”, diz um executivo de Segurança em off para a redação da Security Report.
Para ele, a gestão de acesso de terceiros precisa de atenção especial, pois é possível controlar melhor os acessos de funcionários, entrada e saída, por exemplo. Em um terceiro com atuação em ambientes distintos, a contratante depende que o parceiro avise os movimentos dos usuários. “Eu diria que um dos aspectos mais importantes neste cenário é a rápida comunicação”, pontuou outro líder de Segurança.
Além do problema com a gestão de acesso, outro ponto destacado pelos líderes que atuam na linha de frente no combate ao crime cibernético são as ações de hacktivismo, como foi o caso do iFood. Na visão dos executivos, o lado ruim dessa exposição são os boatos em cima de possíveis vazamentos, o que impacta diretamente na atuação da marca.
“Felizmente o iFood respondeu rapidamente. Uma demora da comunicação trás incerteza ao público/cliente, levando as pessoas a desinstalarem o aplicativo e cancelarem suas contas com o serviço”, completa outro CISO do grupo.