Usuários de iFood relatam cobranças indevidas e aplicativo culpa senhas vazadas de outros serviços

Empresa diz que medidas cabíveis são tomadas 'dependendo do caso' e não garante reembolso. Diversos usuários estão relatando cobranças indevidas atreladas ao aplicativo de entrega de comida iFood. Segundo os relatos e explicações dadas pela empresa aos consumidores, a fraude pode ocorrer dentro do próprio aplicativo, nas máquinas dos restaurantes ou até em contas de outras pessoas.

Os casos estão registrados em redes sociais e, principalmente, no site ReclameAqui. São várias reclamações por dia — algumas com valores de centenas de reais.

O blog conversou com duas vítimas da fraude. Fabio, um engenheiro de software que teve seu cartão virtual e exclusivo clonado após o uso no iFood, e um arquiteto do Rio de Janeiro (ele pediu para não ser identificado) que teve sua conta invadida para registrar vários pedidos com cartões de outras pessoas.

O arquiteto, que sempre pagou seus pedidos pessoalmente e não tinha cartão cadastrado no iFood, descobriu que sua conta estava sendo usada por outras pessoas quando um entregador teve dificuldade para encontrar o endereço do pedido e ligou para pedir informações. O iFood não bloqueou os pedidos.

"Após o entregador me ligar, ele usou o chat do aplicativo para conversar com o 'cliente' para pedir orientações sobre o endereço. Eu assisti a conversa ao vivo. Esse falso 'eu' modificou o número do meu celular no aplicativo, colocou o dele, mas eu tive tempo de corrigir antes de mudar a senha", conta o arquiteto.

Pedidos feitos em conta roubada no iFood: todos com cartões e endereços de entrega diferentes. Plataforma não alertou usuário nem bloqueou pedidos.

Reprodução

Todos os pedidos falsos cadastrados foram pagos com cartões da Elo. A companhia foi questionada se saberia o motivo da recorrência dos cartões nas fraudes, mas não respondeu a essa pergunta.

A bandeira apenas orientou que, em casos de fraude, o consumidor deve trocar as senhas nos aplicativos e comunicar o banco emissor do cartão.

Como o arquiteto nunca cadastrou nenhum cartão no app, os cartões usados eram todos de outras pessoas e ele escapou do prejuízo financeiro. No entanto, ele teve dificuldade para obter orientações do iFood e não sabe por que sua conta foi usada.

Mas Fabio, que tinha um cartão cadastrado, acabou com R$ 63 de prejuízo. Ele diz que recebeu cobranças indevidas em um cartão de crédito virtual, criado exclusivamente para uso no iFood.

Os pedidos ou cobranças não foram registrados na conta dele: eles não constam no histórico de pedidos e não foram enviados os e-mails de confirmação dos pedidos.

Em contato com o blog, o iFood chegou a garantir que reembolsaria o engenheiro de software. Passados quase dois meses da fraude, isso não aconteceu. O iFood foi novamente questionado e, na segunda vez, mudou seu posicionamento para afirmar que "as medidas cabíveis são tomadas de acordo com cada caso".

Após o primeiro pedido no iFood, pago com um cartão virtual exclusivo para o aplicativo, outros dois pedidos foram realizados. Valores não foram ressarcidos.

Reprodução

O iFood também informou que não armazena as informações de cartão de crédito dos clientes e que possui um time dedicado para identificar qualquer irregularidade, seja na atuação dos restaurantes, entregadores ou clientes registrados em seu serviço.

A empresa não explicou por que golpistas estão atuando na plataforma e realizando pedidos falsos em nome dos clientes, mas sugeriu que os roubos de conta ocorrem por conta de vazamentos de senhas de outros serviços.

O iFood disse que, quando seus sistemas detectam que isso está acontecendo, a senha é descadastrada para proteger a conta.

Esse tipo de ataque, chamado de "credential stuffing", é possível quando se utiliza uma senha idêntica em vários serviços e cadastros. Se a senha vazar de qualquer lugar onde ela foi usada, os hackers conseguem criar sistemas automáticos que encontram outros serviços onde a mesma senha funciona.

O arquiteto carioca, que teve sua conta utilizada para a realização de pedidos, confirmou que a senha usada no serviço tinha sido repetida e que ela foi comprometida em um vazamento.

Fabio, no entanto, tinha usado uma senha única, além do cartão exclusivo. A emissora do cartão do engenheiro de software confirmou que o código de verificação (CVV) foi o atribuído ao iFood. Até o momento não há explicação sobre como a fraude ocorreu. "Dinheiro perdido", desabafou.

O que disse o iFood

O iFood enviou o seguinte posicionamento ao blog:

"O iFood conta com um time dedicado a investigações de fraudes para monitorar e agir caso seja identificada qualquer irregularidade, seja na atuação dos restaurantes, entregadores ou mesmo clientes cadastrados na plataforma.

A empresa esclarece que não armazena informações do cartão de crédito dos clientes em seus servidores e, por isso, não houve qualquer vazamento desses dados. O iFood reitera que a segurança da informação é prioridade em sua atuação.

Sobre os casos de relato de roubo de conta, esse tipo de ocorrência acontece quando criminosos usam senhas vazadas na internet para entrar em contas do iFood. Ao identificar acessos irregulares, o iFood realiza o procedimento de segurança padrão, removendo a senha, deslogando todos os dispositivos relacionados à conta e redirecionando o usuário para um novo fluxo de autenticação, em que ele precisa ter acesso ao seu e-mail ou telefone para conseguir acessar a plataforma novamente.

Todas as tratativas dos casos mencionados já estão em andamento e as medidas cabíveis serão tomadas, de acordo com cada caso."

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]