- iFood confirmou vazamento de dados de pelo menos 1,2 milhão de usuários; a empresa diz que o incident ocorreu em dezembro de 2025 e que não houve exposição de senhas, meios de pagamento ou registros financeiros.
- O relatório inicial do atacante bacen falava em 43,8 milhões de clientes; conteúdos exclusivos enviados ao TecMundo mostram três arquivos com estrutura padronizada (admin.txt, response.json e sample.txt) e evidência de alcance maior.
- A origem seria uma falha IDOR no Sistema iFood de Resposta às Autoridades (SIRA), que permitiria acesso gradual a dados sem checagem de credenciais.
- O iFood reforça que o vazamento afeta apenas cerca de 2% da base de clientes; afirma não haver relação com o anúncio de 43 milhões feito pelos criminosos. O atacante contesta parcialmente as declarações.
- Há prazo até 10 de junho para uma possível negociação; o TecMundo continuará acompanhando o caso e irá atualizar com novas informações.
O iFood confirmou: houve vazamento de dados de pelo menos 1,2 milhão de usuários. O material divulgado por criminosos seria derivado de um incidente interno ocorrido em dezembro de 2025, não revelado até então. A empresa informou que não houve exposição de senhas, pagamentos ou registros financeiros.
A apuração envolveu a redação de forma independente, com apoio de fontes anônimas. O episódio começou a ganhar tração após anúncios públicos de vazamento na quinta-feira (28). A nota oficial do iFood chegou nesta terça-feira (2), após apuração adicional.
Crimes digitais e riscos de golpe são o foco da cobertura: os arquivos recebidos apresentam estruturas padronizadas e indicam dados de diversas entidades, incluindo órgãos públicos. Até o momento, não foram confirmadas as métricas de vítimas além do número divulgado pelo aplicativo.
Origem do vazamento
Segundo o material obtido por meio de fontes excusas, a origem seria uma falha no Sistema iFood de Resposta às Autoridades (SIRA), portal para solicitações oficiais. A falha seria do tipo IDOR, permitindo extração gradual de dados sem verificação de credenciais.
Criminosos afirmam ter usado o acesso de uma conta policial para explorar a vulnerabilidade por meses, com objetivo financeiro. As alegações também indicam que dados de mais de 40 milhões seriam alcançáveis, mas não há evidências públicas que sustentem tal cifra.
Dados expostos
Entre os arquivos exclusivos, aparecem informações de administradores e de clientes, com dados como nomes, e-mails institucionais, cargos, status de conta e históricos de endereços. Em amostras maiores, há cadastros de autoridades públicas, o que reforça a relação com o uso do SIRA.
Um terceiro arquivo traz dados de quatro usuários, incluindo CPF, cartões de crédito parcialmente mascarados e endereços de entrega. Essas informações aumentam o potencial de golpes envolvendo identificação e fraude.
Posicionamento e próximos passos
O iFood afirmou que o incidente de dezembro de 2025 envolveu apenas dados cadastrais, sem senhas ou informações financeiras, e que o momento impactou cerca de 2% da base de clientes. A empresa disse manter comunicação apenas por canais oficiais e cumprir a LGPD.
A apuração continua em andamento. O TecMundo verificou que há divergências entre a versão oficial e relatos de criminosos, sem evidências públicas que corroborem números específicos. O portal continuará acompanhando o caso.
Entre na conversa da comunidade