A bolha de segurança de dados furou novamente e, desta vez, atingiu a gigante do delivery. O iFood confirmou, nesta quarta-feira (3/6), um incidente que expôs dados cadastrais de cerca de 1,2 milhão de seus usuários, o que representa 2% de sua base de clientes.
Entre as informações acessadas indevidamente estavam nomes e CPFs. A ação maliciosa, curiosamente, ocorreu em dezembro de 2025 – uma data que ainda está por vir, levantando questões sobre a timeline do acontecimento ou sobre a data informada na análise original –, mas só foi tornada pública esta semana, após uma reportagem do site TecMundo.
O TecMundo foi procurado por um indivíduo que se identificou como “Harold Baker”. Ele forneceu três amostras de dados que foram compartilhadas com o iFood. Após a análise, a empresa de delivery declarou em nota que “o material disponibilizado na internet se refere a um incidente isolado”.
A companhia informou que o evento “envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros”. No entanto, a análise do TecMundo aponta que uma das amostras continha dados de quatro clientes, incluindo CPF, nome completo, número de telefone, e-mail, CPFs associados e histórico de endereços de entrega. Embora houvesse informações de cartões de crédito, os números estavam incompletos, sem data de validade e código de segurança.
Um vazamento maior?
As outras duas amostras de dados obtidas pelo TecMundo envolviam cadastros de funcionários da própria empresa e, de forma ainda mais intrigante, cadastros de funcionários de órgãos públicos. Isso corrobora a alegação do suposto responsável pelo vazamento de que a origem dos dados seria um portal do iFood dedicado a solicitações judiciais, administrativas ou de vigilância sanitária.
Apesar da gravidade, o iFood negou a informação, veiculada por um perfil anônimo na internet, de que o vazamento teria atingido 43 milhões de pessoas. Esse perfil chegou a ameaçar publicar informações sensíveis, como dados de cartões de crédito e e-mails.
Segundo a companhia, o incidente foi contido rapidamente por protocolos internos, e o número de 43 milhões de dados vazados “não encontrou qualquer evidência”.
O que o iFood disse oficialmente?
Em nota enviada ao Tecnoblog, o iFood reiterou sua posição e detalhou as ações tomadas:
“O iFood não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados. Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança. O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da nossa base de usuários.
O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma. A segurança da nossa comunidade é prioridade e seguimos atuando em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD) para aprimorar constantemente nossos sistemas.”
A empresa também abordou a questão da comunicação com as autoridades e os usuários, citando a LGPD:
“O incidente foi tratado e avaliado em estrita conformidade com a legislação, que dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD.”
Enquanto o iFood tenta conter a repercussão, outras iniciativas surgem. O Instituto Empresa, por exemplo, anunciou o lançamento de uma ferramenta gratuita de proteção, que permite que consumidores e investidores registrem formalmente a exposição de dados pessoais em casos como este.