- O iFood confirmou vazamento de dados de cerca de 1,2 milhão de usuários em dezembro de 2025, envolvendo apenas dados cadastrais como nome e CPF.
- A empresa afirma que não houve comprometimento de senhas, meios de pagamento ou registros financeiros, e que o incidente foi rapidamente neutralizado pelos protocolos de segurança.
- O iFood não comunicou o caso à Autoridade Nacional de Proteção de Dados, alegando que não há risco ou dano relevante aos titulares segundo seus critérios.
- A ANPD disse ter recebido a informação de que não houve comunicação, mas informou que o controlador deve comunicar incidentes de segurança que possam implicar risco ou dano, em até três dias úteis.
- O site Dark Web Informer afirmou, com base em fórum de hackers, que dados de 43,8 milhões teriam sido roubados, mensagem que o iFood nega, mantendo o total de 1,2 milhão e a exposição apenas de dados cadastrais.
O iFood confirmou um vazamento de dados de usuários ocorrido em dezembro de 2025, que atingiu cerca de 1,2 milhão de pessoas, equivalente a 2% de sua base. A empresa afirma que o ataque foi rapidamente contido pelos protocolos de segurança.
Segundo o comunicado, os dados expostos foram cadastrais, incluindo nome e CPF. Não houve comprometimento de senhas, meios de pagamento ou registros financeiros. A ocorrência foi tratada como incidente isolado.
A empresa informou que não comunicou o incidente à Autoridade Nacional de Proteção de Dados (ANPD), alegando que não houve risco ou dano relevante aos titulares, conforme critérios do órgão.
ANPD afirma necessidade de comunicação institucional
A ANPD disse que não recebeu comunicação do iFood sobre o incidente, mas solicitou informações necessárias. A LGPD determina que o controlador comunique à ANPD e aos titulares em até três dias úteis quando houver risco relevante.
A avaliação de risco deve considerar a natureza dos dados, o volume de titulares afetados e os potenciais impactos. Mesmo com dúvidas, o controlador deve adotar medidas preventivas adequadas, segundo o órgão.
Dados da dark web e a posição do iFood
A Dark Web Informer informou, na última semana, que um usuário do Breach Forums afirmou ter roubado dados de 43,8 milhões de usuários do iFood. O hacker alegou ter CPFs, nomes, e-mails, telefones e dados de cartões de crédito e pediu contato da empresa até 10 de junho para pagamento.
O iFood negou veementemente a magnitude do vazamento, reiterando que apenas 1,2 milhão de usuários foram afetados e que os dados expostos seriam apenas cadastrais. A empresa afirma ter contornado o ataque sem danos adicionais.
Entre na conversa da comunidade