O aplicativo iFood informou, nesta quarta-feira (3), que foi registrado um vazamento de dados de usuários em dezembro de 2025 que afetou cerca de 2% de sua base, ou seja, cerca de 1,2 milhão de pessoas. Segundo a empresa, o ataque cibernético foi rapidamente contido.
O iFood afirmou que o evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, e que o vazamento foi um incidente isolado, rapidamente neutralizado pelos seus protocolos de segurança.
A empresa informou que não comunicou o vazamento à ANPD (Autoridade Nacional de Proteção de Dados), pois o evento não acarreta risco ou dano relevante aos titulares, conforme definido pelos critérios do órgão.
Em nota, a ANPD confirmou que não recebeu comunicação de incidente de segurança envolvendo o iFood, mas que solicitou as informações necessárias, e disse que a LGPD (Lei Geral de Proteção de Dados) determina que o controlador dos dados comunique à ANPD e aos titulares dos dados pessoais, em até três dias úteis, os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
Segundo o órgão, a avaliação de risco deve considerar, entre outros fatores, a natureza dos dados afetados, o volume de titulares impactados e os potenciais efeitos decorrentes do incidente.
Mesmo em situações em que ainda haja dúvidas sobre a extensão dos riscos e danos envolvidos, o controlador deve adotar medidas preventivas adequadas.
O site sobre cibersegurança Dark Web Informer, que monitora fóruns da dark web, relatou que na última semana um usuário do Breach Forums, comunidade de hackers, afirmou ter roubado dados de 43,8 milhões de usuários do iFood.
O hacker afirmou que teria obtido CPFs, nomes completos, e-mails, números de telefone e dados de cartões de crédito, e pediu que a empresa entrasse em contato com ele até 10 de junho para pagar uma quantia não especificada.
O iFood negou que o vazamento tenha sido de tal magnitude, reafirmando que os afetados foram 1,2 milhão e que teriam sido vazados apenas dados cadastrais, sem qualquer comprometimento de outras informações.
