Vazamento de dados no iFood atinge 1,2 milhão de usuários do aplicativo — empresa nega exposição de informações financeiras

Um vazamento de dados atingiu cerca de 1,2 milhão de usuários do aplicativo do iFood — o equivalente a aproximadamente 2% da base da plataforma. O incidente, segundo a empresa, ocorreu em dezembro de 2025, mas só foi detalhado agora, em comunicado divulgado nesta quarta-feira (3).

De acordo com o iFood, o ataque cibernético foi contido rapidamente e envolveu apenas dados cadastrais, como nome completo e CPF. A companhia afirma que não houve comprometimento de informações mais sensíveis, como senhas, meios de pagamento ou registros financeiros.

A empresa também classificou o episódio como isolado e disse que seus protocolos de segurança foram suficientes para neutralizar a ameaça.

Segundo o iFood, o vazamento não foi reportado à Autoridade Nacional de Proteção de Dados (ANPD) porque, em sua avaliação, não houve risco ou dano relevante aos usuários, critério exigido pela legislação para a notificação obrigatória.

• LEIA TAMBÉM: iFood processa Keeta sob acusação de espionagem empresarial e concorrência desleal

A ANPD, por sua vez, afirmou em nota ao Estadão que não recebeu comunicação formal sobre o incidente, mas já solicitou informações à empresa.

O órgão regulador lembrou que a Lei Geral de Proteção de Dados (LGPD) determina que casos que possam gerar risco aos titulares devem ser comunicados tanto à autoridade quanto aos próprios usuários em até três dias úteis. A análise leva em conta fatores como o tipo de dado exposto, o volume de pessoas afetadas e os potenciais impactos do vazamento.

A autoridade também destacou que, mesmo quando há dúvidas sobre a extensão dos danos, o controlador dos dados — no caso, o iFood — deve adotar medidas preventivas adequadas.

Dados na dark web

O caso ganhou ainda mais repercussão por causa de relatos vindos da dark web.

• CONFIRA: Drones levam a comida: restaurantes podem fazer entregas em até cinco minutos com nova aposta do iFood

O site especializado Dark Web Informer informou que, na última semana, um usuário do Breach Forums — conhecido fórum de hackers — afirmou ter obtido dados de 43,8 milhões de usuários do iFood.

Segundo essa publicação, o suposto invasor teria acesso a informações como CPFs, nomes completos, e-mails, números de telefone e até dados de cartões de crédito. Ele teria, inclusive, estabelecido um prazo até 10 de junho para que o iFood entrasse em contato e pagasse uma quantia não divulgada.

O iFood nega essa versão.

A empresa reafirma que o incidente afetou apenas 1,2 milhão de usuários e se limitou a dados cadastrais, sem qualquer comprometimento de informações financeiras ou credenciais de acesso.

*Com informações do Estadão Conteúdo.