Líderes de SI comentam ação de hacktivismo contra atendimento do iFood

Aplicativo foi vítima de ato malicioso envolvendo credencial de acesso de prestadora de serviços. Na visão de CISOs, a gestão de contratos terceirizados precisa ter controle forte nas identidades com acessos privilegiados

Compartilhar:

Nesta terça-feira (02), o aplicativo de delivery iFood confirmou por meio de sua conta oficial no Twitter que foi vítima de um incidente envolvendo uma credencial de acesso de terceiro. Um funcionário da prestadora de serviços mudou nomes de restaurantes, alguns ganharam títulos de cunho político. Segundo o comunicado, aproximadamente 6% dos estabelecimentos cadastrados no aplicativo foram afetados.

 

O acesso da prestadora de serviço foi interrompido assim que o iFood identificou o incidente e os nomes dos restaurantes já foram corrigidos. A empresa ressaltou também que as informações de meios de pagamento não são armazenadas nos bancos de dados do aplicativo, ficam gravadas apenas nos dispositivos dos clientes.

 

“Não há qualquer indício de vazamento da base de dados pessoais de clientes ou entregadores cadastrados na plataforma”, declara o iFood. O aplicativo segue adotando medidas para sanar o problema e proteger os dados de restaurantes, consumidores e entregadores.

 

O caso movimentou o grupo de líderes de Segurança da Informação do Security Leaders. Na visão dos executivos, o ocorrido reforça o quanto os profissionais de SI precisam ficar atentos às atividades dos prestadores de serviços/terceiros no ambiente produtivo. Um incidente desta natureza, mesmo sem grandes impactos no quesito vazamento de dados sensíveis, pode gerar problemas relacionados à reputação da marca e confiança do consumidor.

 

Isso porque o acesso autorizado a terceiros requer atenção redobrada por parte da equipe de Segurança da empresa contratante. “É preciso manter um controle muito restrito da gestão de acessos, principalmente quando eles são privilegiados, tanto de terceiros quanto de funcionários”, diz um executivo de Segurança em off para a redação da Security Report.

 

Para ele, a gestão de acesso de terceiros precisa de atenção especial, pois é possível controlar melhor os acessos de funcionários, entrada e saída, por exemplo. Em um terceiro com atuação em ambientes distintos, a contratante depende que o parceiro avise os movimentos dos usuários. “Eu diria que um dos aspectos mais importantes neste cenário é a rápida comunicação”, pontuou outro líder de Segurança.

 

Além do problema com a gestão de acesso, outro ponto destacado pelos líderes que atuam na linha de frente no combate ao crime cibernético são as ações de hacktivismo, como foi o caso do iFood. Na visão dos executivos, o lado ruim dessa exposição são os boatos em cima de possíveis vazamentos, o que impacta diretamente na atuação da marca.

 

“Felizmente o iFood respondeu rapidamente. Uma demora da comunicação trás incerteza ao público/cliente, levando as pessoas a desinstalarem o aplicativo e cancelarem suas contas com o serviço”, completa outro CISO do grupo.

 

 

Conteúdos Relacionados

Security Report | Destaques

De CISO para CISO: 8 pilares para mudar a Cibersegurança ainda em 2025

Na visão de Bruno Moraes, fundador do Cyber Horizon Group, o mercado brasileiro precisa virar a chave da Cibersegurança. Em...
Security Report | Destaques

Gerente do Banco da Amazônia é preso por facilitar fraude cibernética

O mandado foi executado em Santa Inês, no Maranhão, contra um suspeito de facilitar a fraude de R$ 107 milhões...
Security Report | Destaques

Operação conjunta prende dois novos envolvidos no incidente da C&M

A Polícia Federal, juntamente com o Ministério Público de São Paulo, deflagraram a operação Magna Fraus em Goiás e no...
Security Report | Destaques

“A linguagem de risco consiste em dinheiro”, diz CEO da Qualys

Durante a abertura do Cyber Risk Conference Brazil, o CEO da Qualys, Sumedh Thakar, defendeu que traduzir o risco cibernético...