Créditos: Paulo Pinto/Agência Brasil
iFood confirma vazamento de dados de 1,2 milhão de usuários
Empresa admite incidente que atingiu 2% da base de clientes, mas nega alegação de hacker sobre exposição de 43 milhões de contas; ANPD cobra esclarecimentos
O iFood confirmou nesta quarta-feira (3) que sofreu um vazamento de dados que atingiu cerca de 1,2 milhão de usuários da plataforma. Segundo a empresa, o incidente ocorreu em dezembro de 2025 e afetou aproximadamente 2% da base total de clientes.
A manifestação da companhia ocorreu após um usuário de um fórum de hackers na dark web afirmar que possuía informações de mais de 43 milhões de clientes brasileiros do aplicativo. Entre os dados supostamente obtidos estariam CPF, nome completo, e-mail, telefone e informações relacionadas a cartões de crédito.
Em nota, o iFood negou que tenha ocorrido um vazamento nessa proporção e afirmou que não encontrou evidências que confirmem a exposição de mais de 43 milhões de registros.
De acordo com a empresa, investigações internas apontaram que o material divulgado na internet está relacionado a um incidente específico registrado no fim do ano passado e que teria sido rapidamente contido pelos protocolos de segurança adotados pela plataforma.
O iFood informou que os dados acessados envolvem informações cadastrais, como nome e CPF dos usuários. A empresa ressaltou que não houve comprometimento de senhas, dados financeiros, meios de pagamento ou registros bancários.
A companhia também afirmou que não comunicou o caso à Autoridade Nacional de Proteção de Dados (ANPD) por entender que o incidente não apresentou risco ou dano relevante aos titulares das informações, conforme os critérios previstos na regulamentação.
A posição, porém, não impediu a atuação da autoridade. Em resposta ao caso, a ANPD informou que notificou o iFood e solicitou esclarecimentos sobre o incidente de segurança.
Segundo a agência, o regulamento vigente determina que empresas controladoras de dados pessoais comuniquem à ANPD e aos usuários afetados, em até três dias úteis, qualquer incidente que possa representar risco ou dano relevante.
A autoridade destacou que essa avaliação deve considerar fatores como o tipo de dado comprometido, o número de pessoas atingidas e os possíveis impactos decorrentes do vazamento.
Especialistas em segurança digital também demonstraram preocupação com a situação. O portal Dark Web Informer, que monitora fóruns utilizados por cibercriminosos, alertou que informações pessoais vazadas podem ser utilizadas em golpes financeiros, fraudes de identidade e campanhas de phishing e smishing, que utilizam e-mails e mensagens de texto para enganar vítimas.
O suposto responsável pela divulgação dos dados, identificado pelo apelido "bacen", publicou uma mensagem em um fórum da dark web afirmando que aguarda contato do iFood até o dia 10 de junho. Na publicação, o usuário menciona o pagamento de uma quantia não revelada para tratar do caso.
Até o momento, o iFood sustenta que o incidente teve alcance limitado e que não houve comprometimento de informações bancárias ou de pagamento dos usuários.
