No último dia 9 de setembro, dados do Aiqfome foram publicados à venda na internet. Segundo o anunciante, nomeado “Privilege”, há mais de 1,6 milhão de registros vazados de usuários – incluindo nomes, endereços, celulares, data de nascimento e mais.
O cibercriminoso alega que entrou em contato com a empresa, mas não obteve sucesso em negociar uma recompensa pela falha encontrada – e, agora, ameaça expor todas as informações. Nesta semana, ele entrou em contato com o TecMundo para falar sobre o caso.
A abordagem inicial de Privilege ocorreu na rede social X, quando ele abordou o atual editor-chefe do TecMundo, Felipe Payão, com um outro nome de usuário. Na ocasião, ele se passou por um usuário do aplicativo e afirmava ter contato com o responsável pelo vazamento do Aiqfome. Eventualmente, ele admitiu a autoria do caso e se dispôs a contar detalhes, justificando que: a “ideia desde o início era mostrar a gravidade da falha e tentar negociar com eles de forma pacífica”.
Por “eles”, Privilege se refere ao Grupo Magalu, donos do Aiqfome desde setembro de 2020. Atualmente, o aplicativo é um dos principais concorrentes do iFood no Brasil, funcionando de maneira similar como um intermediário entre serviços de delivery e o cliente final. Com presença mais forte em cidades interioranas, a plataforma conta com mais de seis milhões de usuários, tem cinco milhões de downloads na Play Store e mais de 263 mil avaliações na App Store.
O TecMundo entrou em contato com o Aiqfome e não conseguiu. Então, via Magalu, foi pedido um posicionamento. A matéria será atualizada caso exista uma resposta.
Qual foi a vulnerabilidade que permitiu o vazamento de dados no Aiqfome?
Apesar do considerável tamanho, a operação do Aiqfome não previu medidas suficientes de segurança para seus clientes – ao menos, é o que sugere Privilege. Embora não entre em detalhes, explicando que eles fariam parte de sua proposta à empresa, o cibercriminoso faz questão de explicitar a natureza da falha: “algo simples, porém extremamente negligenciado, e que permitia um acesso muito amplo”. Ele ainda explica que a investigação não exigiu técnicas avançadas ou sofisticadas: “o problema estava ali, visível, e passou despercebido,” afirma.
Adiante, Privilege comenta sobre a operação, e explica que a vulnerabilidade estava em um “painel interno” e deu acesso a diversos “dados de usuários e restaurantes”, incluindo monitorar pedidos em tempo real. Após desenvolver um programa extrator, ele obteve cerca de 1,6 milhões de linhas de informação – número que julgou necessário para “alertar e negociar diretamente com algum responsável pela Aiqfome”.
Porém, era possível exfiltrar muito mais. Privilege explica: “no total, existiam mais de 7 milhões de IDs disponíveis,” contextualiza, “não foi porque o sistema caiu ou foi corrigido [que eu parei], simplesmente achei que [1,6 milhões de IDs] já era o suficiente”. Os dados coletados, então, foram anunciados em um fórum utilizado por cibercriminosos “de forma mais genérica, com menos detalhes e sem amostras”.
A negociação entre o cibercriminoso e a Aiqfome
Segundo Privilege, após esse primeiro anúncio, a Aiqfome entrou em contato: “eles demonstraram interesse inicial em resolver e pediram mais detalhes e amostras”, ele explica, “alegando que seguiriam com a proposta que apresentei”. A oferta do invasor funcionaria em duas etapas, com um respectivo pagamento em cada: na primeira, ele enviaria um relatório técnico com todos os detalhes, o vetor de ataque e as ferramentas usadas, além das medidas necessárias para a correção. Na segunda, ele excluiria todos os dados, enviando comprovantes do encerramento de seu vínculo com o caso. “Nenhum rastro, nenhum vazamento,” ele afirma.
Contudo, após Privilege enviar as amostras solicitadas, a Aiqfome teria se recusado a seguir com a proposta, e sugeriu que ele entrasse no programa de bug bounty – que oferece recompensas pela identificação e correção de falhas, como essa. Ele comenta, sobre a sugestão: “claramente não se aplica a esse tipo de caso, principalmente após já terem reconhecido a gravidade [da falha] e se comprometido [a negociar]”.
Diante disso, a situação escalou: “reforcei que não aceito a mudança de rota,” Privilege comenta, “enviei uma última mensagem perguntando se pretendem realmente seguir com o combinado ou se posso prosseguir com a exposição dos dados.” Segundo ele, desde o momento da entrevista, já haviam se passado mais de 24 horas desde a última comunicação do Aiqfome. Nesse contexto, ao considerar a demora no retorno como uma negativa, o cibercriminoso fez um novo anúncio no fórum, desta vez com amostras e mais detalhes.
Na conversa, Privilege menciona que também extraiu uma segunda base de dados ainda não anunciada no fórum. O conjunto teria informações de 19 mil empresas parceiras do Aiqfome, incluindo até mesmo dados bancários. Por 3 mil euros, aproximadamente R$ 18,7 mil em conversão direta, o acesso será transferido a um potencial e único comprador. O cibercriminoso afirma que o subdomínio que levava ao painel interno com falha está atualmente offline, o que impossibilita novos acessos no futuro.
Aiqfome pode receber multa milionária, se infringir LGPD
Ainda que os meios utilizados por Privilege para revelar a falha sejam indiscutivelmente criminosos, a falha nos sistemas do Aiqfome ainda expôs os dados de milhões de clientes e lojas parceiras. Diante da Lei Geral de Proteção de Dados (LGPD), a empresa deve comunicar o vazamento de dados desde que ele seja confirmado e possa oferecer riscos aos seus clientes – como pode ser o caso, segundo as alegações do invasor.
Caso seja penalizada pela LGPD, a Aiqfome poderia encarar diversas sanções, incluindo multas de até 2% sob seu faturamento limitadas até R$ 50 milhões. Além disso, a empresa poderia ter o acesso ao manuseio dos dados afetados suspenso, e até revogado, até a resolução dos problemas.
Claro, também há previsão de reparação de danos morais ou materiais aos clientes afetados, diante comprovação. No entanto, é importante ressaltar que há diversas etapas até a aplicação de penalidades mais severas, especialmente quando a empresa colabora na investigação junto das autoridades.
O TecMundo entrou em contato com o Aiqfome e o Grupo Magalu, mas não obteve respostas até a publicação da reportagem. O texto será prontamente atualizado diante de novas informações.
Empresas brasileiras dificultam bug bounty e promovem vazamentos, sugere cibercriminoso
Durante a conversa com o TecMundo, Privilege destacou que esta não é a sua primeira invasão indevida, e afirma ser experiente nesse meio: “já negociei com mais de 100 empresas”. Durante sua atuação, ele afirma que há um padrão entre as empresas brasileiras, citando que “em sua maioria, são extremamente difíceis de lidar”.
Privilege acrescenta: “Muitas ignoram a gravidade ou tentam minimizar a situação, o que acaba me forçando a adotar uma postura mais agressiva”. Segundo o cibercriminoso, as empresas “agem como se [a vulnerabilidade] fosse algo rotineiro, mesmo quando lidam com exposições mais sérias”.
Por meio dessa experiência prévia, Privilege justifica sua “agressividade” no caso do Aiqfome – ao anunciar a venda de dados para chamar sua atenção, antes de prosseguir o diálogo formal. Ele alega: “se não for assim, eles simplesmente pegam a falha, corrigem e ignoram completamente quem reportou.”
Percebi que só sendo mais firme e agressivo é que passavam a me levar a sério, e até a pagar. Infelizmente, foi assim que aprendi a lidar com o mercado. – Privilege, invasor do Aiqfome
No entanto, pensando em seus primeiros passos, Privilege recapitula que nem sempre sua atuação foi assim: “No começo, eu tentava sempre seguir a linha certa: reportava com calma, educadamente, e explicava os riscos,” contextualiza. Segundo ele, a maior parte dos contatos eram ignorados: “Isso me frustrava demais.”
As críticas de Privilege refletem muitas outras no nicho da cibersegurança, como foi o caso do aplicativo Sapphos, coberto com exclusividade no TecMundo. Na ocasião, o desenvolvedor Antônio Real Oficial divulgou uma vulnerabilidade grave da plataforma no X (ex-Twitter), mas sua atitude foi condenada pelos responsáveis – mesmo sem pedir nada em troca e até se disponibilizar para a correção.
Os crimes de Privilege, entre a extorsão e o ‘bug bounty forçado’
Apesar das boas intenções ou da abordagem, enquanto as empresas não estabelecem programas de recompensa para a identificação de falhas, conhecidos como “bug bounty”, qualquer acesso não autorizado aos seus sistemas é tratado como uma “invasão hacker”. Por esse motivo, ainda que seja feita pensando no bem-estar dos usuários, a prática não é recomendada por potencialmente configurar um crime.
No caso do Aiqfome e de Privilege, contudo, há mais detalhes. Em comentários ao TecMundo, Luiz Augusto D’Urso, advogado especialista em Direito Digital e Crimes Cibernéticos, explica: “como o criminoso, antes de vender o banco de dados, exige um pagamento para apresentar as falhas e não realizar o ‘vazamento’, ele pode responder pelo crime de extorsão, sendo que a pena para este crime chega a 10 anos de prisão”.
D’urso acrescenta: “Além disso, é possível verificar a prática do crime de invasão de dispositivo informático, sendo que a pena será majorada, pois da invasão resulta a obtenção de informações sigilosas,” explica, “Neste caso a pena para este crime chega a 5 anos de prisão”.
Por fim, D’urso ainda alerta Privilege: “Em último caso, se o autor realmente comercializar ou vazar o banco de dados, será aplicado o § 4º deste mesmo crime (de invasão de dispositivo informático). Ele prevê: ‘aumenta-se a pena de um a dois terços se houver divulgação, comercialização ou transmissão a terceiro, a qualquer título, dos dados ou informações obtidos’.”
‘Não era o que eu queria pra minha vida’: a jornada de Privilege até o cibercrime
Falando sobre sua vida pessoal, o cibercriminoso conta os primeiros passos de sua trajetória e como adquiriu os conhecimentos para encontrar esse tipo de falha. Ele afirma que sempre foi curioso em explorar sistemas e testar limites, mas nunca obteve uma formação formal – é autodidata.
- Adriano Camacho: Você é diplomado na área da segurança da informação ou computação? Se sim, chegou a fazer faculdade, ou foi por meio de cursos/estudos independentes?
- Privilege: Não sou formado, sou completamente autodidata. Desde criança, sempre tive curiosidade em explorar sistemas, entender como as coisas funcionam e testar limites. Com o tempo, conheci várias comunidades brasileiras voltadas a esse mesmo tema, onde aprendi muito na prática, troquei conhecimento e construí amizades na área.
Para Privilege, contudo, a jornada de autoaprendizagem não foi necessariamente solitária. Durante seus estudos, encontrou companhia com o mesmo propósito: pessoas na busca de uma vida melhor.
- Adriano Camacho: Para você, essa jornada foi difícil?
- Privilege: Então, como te falei, foi tudo meio que por ordem do destino. Acabei conhecendo várias pessoas e me envolvendo em grupos que tinham o mesmo propósito: gente que veio de baixo e está correndo atrás do seu, tentando fazer dinheiro com o que sabe. Isso ajudou muito no meu crescimento, tanto técnico quanto pessoal.
Questionado sobre sua motivação, Privilege admite que se trata de dinheiro. No entanto, ele também afirma que não era o caminho que gostaria de ter seguido – mas foi o que encontrou para evitar ‘ser só mais um no CLT, sofrendo para todo dia sustentar a casa’.
- Adriano Camacho: No geral, qual é a sua motivação? De imediato, é correto assumir que financeira?
- Privilege: Sim, a motivação principal sempre foi financeira. Não era o que eu queria pra minha vida, mas Deus me deu esse dom, esse conhecimento. E, infelizmente ou felizmente, foi o caminho que encontrei pra não ser só mais um no CLT, sofrendo todo dia pra sustentar a casa. Eu só fiz o que muitos gostariam de fazer se tivessem a mesma visão.
- Privilege: Inclusive, se vocês permitirem, queria deixar um salve pros que sempre estiveram do lado, desde o começo: Xiaomi, Gabre, Zestyx64, Bricin, Neves, FakeName, Success… e tantos outros que somam na caminhada. Cada um com sua história, mas todos com o mesmo corre.
- Adriano Camacho: Naturalmente, você sempre esteve ciente dos riscos diante da lei, certo?
- Privilege: Sim, sempre estive ciente dos riscos. Desde o começo, procurei entender bem o que era legal e o que poderia me comprometer. Por isso, sempre tomei precauções: utilizo VPNs, VirtualBox, VPS e diversos outros.
Vazamento ainda maior do Aiqfome pode ser evitado, diz Privilege
Voltando a falar sobre o caso da Aiqfome, Privilege afirma que a empresa está em uma contagem regressiva contra a exposição dos dados – contudo, ele afirma que ‘a situação ainda é reversível’. O cibercriminoso acrescenta: “Estou aberto a um diálogo profissional, em que tudo pode ser resolvido de forma silenciosa, responsável e segura”.
Privilege ainda comenta sobre a gravidade de seu acesso: “Durante minha análise, percebi que o sistema da Aiqfome é consideravelmente defasado,” contextualiza, “Faltam proteções básicas que qualquer empresa do porte deles já deveria ter implementado, como um rate limit, por exemplo.”
Neste contexto, esclarecendo, “rate limit” é um mecanismo que restringe a quantidade de requisições que um usuário, sistema ou endereço IP pode realizar em um determinado período de tempo. Justamente, sua função é evitar a exploração de falhas ou ataques automatizados em massa.
“É evidente que a superfície de ataque é extensa e foi ignorada por bastante tempo.” – Privilege, invasor do Aiqfome
Apesar das críticas à Aiqfome, Privilege afirma: “A proposta que enviei ainda está de pé”. Mas também ameaça: “se nos próximos dias não houver mais retorno da empresa, passarei a considerar que ignoraram totalmente a gravidade da situação”, alerta, “Nesse caso, estarei inclinado a vazar publicamente as duas bases de dados que tenho em posse, junto à falha explorada”.
Pensando na potencial repercussão do caso, Privilege admite ter receio de ser descoberto e até preso: “Naturalmente, existe sempre o risco,” afirma. Por outro lado, ele confia em seus processos:
- Privilege: Como mencionei antes, desde o início tive o cuidado de agir de forma discreta e sem causar danos diretos. Me preparo bem, uso os recursos certos para preservar o anonimato e evitar qualquer exposição desnecessária.
Contrastando diretamente sua afirmação anterior, Privilege comenta novamente sobre suas motivações: “No fim, a intenção sempre foi corrigir falhas e evitar que dados realmente acabem nas mãos erradas,” pondera, “Quem quiser entender, entende,” conclui. Apesar da aparente mudança de opinião, nada além de uma potencial recompensa evitou seu desejo em publicar os dados de 1,6 milhão de brasileiros à venda, em um fórum conhecido e utilizado por cibercriminosos.
Durante toda a conversa, na verdade, Privilege transita entre o orgulho de suas atividades criminosas e um potencial altruísmo, mas nunca entre o arrependimento. Independente do contexto socioeconomico, e dos condicionantes que o levaram para esse caminho, as ações do cibercriminoso podem colocar milhões de brasileiros inocentes em risco – de golpes à perseguição, e qualquer outra atividade criminosa no interesse de terceiros. Embora afirme sua intenção em evitar tal uso malicioso, Privilege desconsidera sua participação como intermediário no próprio problema que supostamente denuncia.
Considerando o montante que ele poderia ter sido exposto, de 7 milhões de usuários, ou até mesmo o conjunto obtido de 1,6 milhões, é relativamente simples transformar a segurança de indivíduos em meros números.
No entanto, pelo menos cem pessoas comuns tiveram sua privacidade exposta no fórum, e provavelmente não serão alertados até que seja tarde demais. Quando o altruísmo cobra um preço, se torna interesse próprio – e, neste caso, extorsão.
- O TecMundo Security apoia o trabalho de hackers éticos. Envie sua denúncia para contato@adrianocamacho.com ou denuncia@tecmundo.com.br.
