O aplicativo iFood informou nesta quarta-feira, 3, que foi registrado um vazamento de dados de usuários em dezembro de 2025 que afetou cerca de 2% de sua base, ou seja, cerca de 1,2 milhão de pessoas. Segundo a empresa, o ataque cibernético foi rapidamente contido.
O iFood afirmou que o evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, e que o vazamento foi um incidente isolado, rapidamente neutralizado pelos seus protocolos de segurança.
A empresa informou que não comunicou o vazamento à Autoridade Nacional de Proteção de Dados (ANPD), pois o evento não acarreta risco ou dano relevante aos titulares, conforme definido pelos critérios do órgão.
Em nota enviada ao Estadão , a ANPD confirmou que não recebeu comunicação de incidente de segurança envolvendo o iFood, mas que solicitou as informações necessárias, e disse que a Lei Geral de Proteção de Dados (LGPD) determina que o controlador dos dados comunique à ANPD e aos titulares dos dados pessoais, em até três dias úteis, os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.
Segundo o órgão, a avaliação de risco deve considerar, entre outros fatores, a natureza dos dados afetados, o volume de titulares impactados e os potenciais efeitos decorrentes do incidente. Mesmo em situações em que ainda haja dúvidas sobre a extensão dos riscos e danos envolvidos, o controlador deve adotar medidas preventivas adequadas.
O site sobre cibersegurança Dark Web Informer , que monitora fóruns da dark web, relatou que na última semana um usuário do Breach Forums , comunidade de hackers, afirmou ter roubado dados de 43,8 milhões de usuários do iFood.
O hacker afirmou que teria obtido CPFs, nomes completos, e-mails, números de telefone e dados de cartões de crédito, e pediu que a empresa entrasse em contato com ele até 10 de junho para pagar uma quantia não especificada.
O iFood negou que o vazamento tenha sido de tal magnitude, reafirmando que os afetados foram 1,2 milhão e que teriam sido vazados apenas dados cadastrais, sem qualquer comprometimento de outras informações.
Aviso