O iFood disse que registrou o vazamento de dados de 1,2 milhão de seus usuários, o que equivale a 2% da base de usuários da empresa. Segundo a companhia, o ataque de hackers ocorreu em dezembro de 2025, mas teria sido contido rapidamente.
A confirmação veio depois que um usuário do BreachForums disse, na semana passada, que possuía dados de mais de 43,84 milhões de clientes brasileiros do iFood, incluindo CPF, nomes, emails, telefones e informações de cartões de crédito.
Em nota, a companhia disse que “não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados”.
“Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança”, escreveu em nota. “O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da nossa base de usuários.”
A empresa afirma que não notificou a ANPD (Autoridade Nacional de Produção de Dados), porque “o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios”.
A ANPD (Agência Nacional de Proteção de Dados) disse à Folha que já notificou o iFood para que a empresa preste as informações necessárias sobre o vazamento.
A agência afirmou que, segundo o Regulamento de Comunicação de Incidentes, o controlador de dados tem o dever de comunicar, à ANPD e aos titulares dos dados pessoais, em até três dias úteis, os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
“Essa avaliação de risco deve considerar, entre outros fatores, a natureza dos dados afetados, o volume de titulares impactados e os potenciais efeitos decorrentes do incidente. Mesmo em situações em que ainda haja dúvidas sobre a extensão dos riscos e danos envolvidos, o controlador deve adotar medidas preventivas e mitigatórias adequadas”, afirma.
Rafael Zanatta, codiretor da organização Data Privacy Brasil, afirma que “há poucas dúvidas de que há obrigação de comunicar o incidente”. “1 milhão de pessoas afetadas já configura dados em larga escala. A ANPD considera não só o número de titulares como também a dispersão geográfica. O iFood é uma empresa presente no território todo e é obrigada a notificar sobre o incidente, sob pena de cometer um ilícito”, diz ele.
A empresa de delivery diz que o caso foi tratado e avaliado em estrita conformidade com a legislação.
Para Zanatta, como aparentemente não houve vazamento de senhas e cartões de crédito, o principal dano potencial para as pessoas está ligado a golpes de engenharia social, campanhas de phishing e golpes de instalação de malwares com links e SMS. “Usuários precisam ficar muito atentos com mensagens via WhatsApp de contas inautênticas, emails falsos ou SMS”, recomenda ele.
Fonte: Folha de São Paulo
