iFood admite vazamento de dados de 1,2 milhão de usuários

A empresa afirma que o ataque foi rapidamente contido e não comprometeu senhas ou dados financeiros.

O iFood, um dos principais aplicativos de entrega de alimentos do Brasil, confirmou ter sofrido um vazamento de dados que afetou cerca de 1,2 milhão de usuários, o que representa cerca de 2% da sua base de clientes. O incidente ocorreu em dezembro de 2025, mas foi divulgado recentemente pela empresa.

Segundo o iFood, o ataque cibernético foi rapidamente contido e apenas dados cadastrais, como nome e CPF, foram expostos. Não houve comprometimento de senhas, meios de pagamento ou registros financeiros dos usuários. A empresa classificou o vazamento como um incidente isolado e afirmou que seus protocolos de segurança foram eficazes em neutralizar a ameaça.

Comunicação com a ANPD

Em relação à comunicação do incidente, o iFood optou por não informar a Autoridade Nacional de Proteção de Dados (ANPD), alegando que o vazamento não acarreta risco ou dano relevante aos titulares dos dados. No entanto, a ANPD destacou que a Lei Geral de Proteção de Dados (LGPD) exige que incidentes que possam representar riscos sejam comunicados em até três dias úteis.

A ANPD, por sua vez, informou que não recebeu notificação do iFood, mas solicitou informações adicionais à empresa para avaliar a situação. A legislação prevê que a avaliação de risco deve considerar a natureza dos dados afetados, o volume de usuários impactados e os potenciais efeitos do incidente.

Relatos na Dark Web

Paralelamente, o site Dark Web Informer relatou que um usuário de um fórum de hackers afirmou ter em posse dados de 43,8 milhões de usuários do iFood, incluindo informações sensíveis como CPFs e dados de cartões de crédito. O iFood negou essa alegação, reafirmando que o vazamento envolveu apenas 1,2 milhão de usuários e dados cadastrais básicos.