O Procon do Rio de Janeiro multou o iFood em R$ 1,5 milhão pelo que considerou a falta de informações suficientes do aplicativo sobre um ataque no começo de novembro.

Na ocasião, uma grande quantidade de restaurantes cadastrados teve seu nome trocado por “Bolsonaro 2022”, “Petista Comunista” ou “Vacina Mata” no meio do feriadão de finados.

O iFood afirmou que as modificações foram feitas por um funcionário de uma empresa prestadora de serviço de atendimento, afetando 6% da base de cadastrados (o app não abriu o número, mas pelas contas da reportagem do Baguete, isso seria algo na faixa dos 12 mil restaurantes).

A empresa garantiu na época que não houve vazamento de dados pessoais dos consumidores nem de informações sobre cartões de débito ou crédito cadastrados como meios de pagamento.

Na política de privacidade do iFood, por outro lado, está dito que a plataforma compartilha dados com empresas terceirizadas, incluindo os meios de pagamento.

O Procon-RJ julgou que o iFood não deu garantias suficientes sobre a segurança dos dados dos clientes ou se explicou suficientemente sobre o tamanho do problema que afetou os restaurantes.

Pelo lado dos restaurantes, o órgão quis saber quais estabelecimentos foram afetados por esse acesso indevido, por quanto tempo os nomes ficaram alterados, qual foi o prazo para correção do sistema, quantas compras foram realizadas durante o acesso indevido e, a pergunta do milhão, quem afinal é a empresa terceira cujo funcionário teria aprontado tudo isso.

O iFood ainda pode recorrer. Talvez fosse melhor pagar a multa e deixar para lá, porque todo o assunto ficou muito mal explicado e pode ser que falar cause mais prejuízos.

Os 6% mencionados pelo iFood podem parecer pouca coisa, mas, medido pela quantidade de restaurantes castrados em agosto de 2020 (que provavelmente só aumentou, no embalo da pandemia), estamos falando de no mínimo umas 12 mil alterações.

Se o funcionário trocou os nomes manualmente, demorando 5 segundos cada vez, a alteração de 12 mil registros (sendo que o número é provavelmente ainda maior) é um processo que deveria durar 16 horas.

As alterações, no entanto, aconteceram de uma hora para outra, o que indica que um humilde funcionário terceirizado da empresa de atendimento teve acesso de alguma forma a bancos de dados em produção, e conhecimento para alterar eles.

Fica ainda em aberto a questão de porque o funcionário faria um ataque desse tipo, de maneira a poder ser identificado horas depois.

Falar mais sobre o tema poderia criar uma crise de confiança na segurança do aplicativo e reforçar cobranças pelo lado dos restaurantes, que tem mecanismos melhores de lobby do que os consumidores.

A Associação Brasileira de Bares e Restaurantes, a maior associação do setor no país, já pleiteou uma compensação financeira dias depois do ataque.

“Além dos óbvios prejuízos financeiros, que esperamos que sejam compensados pelo aplicativo, e de imagem para os estabelecimentos, o que chama a atenção é a fragilidade demonstrada”, aponta a nota da Abrasel.