iFood confirma vazamento de 1,2 milhão de dados de clientes

A segurança de dados voltou ao centro das atenções após a empresa iFood confirmar que informações cadastrais de aproximadamente 1,2 milhão de usuários foram expostas em um incidente cibernético. O caso ganhou repercussão após a divulgação, em fóruns da dark web, de alegações sobre um suposto vazamento muito maior, envolvendo dezenas de milhões de clientes da plataforma.

Segundo a empresa, o episódio ocorreu em dezembro de 2025 e foi identificado pelos sistemas internos de segurança. Em comunicado divulgado nesta quarta-feira (3), a companhia informou que a ocorrência atingiu cerca de 2% de sua base de usuários e que as medidas de contenção foram adotadas ainda durante o ataque.

Conteúdo Relacionado

• Conheça truque que permite pagar mais barato no iFood
• iFood começa a usar drones para realizar entregas; entenda

A confirmação ocorreu dias após um usuário de um fórum especializado na comercialização de dados obtidos ilegalmente afirmar possuir informações de mais de 43 milhões de clientes brasileiros do aplicativo de entregas. Entre os dados mencionados estariam nomes, CPFs, endereços de e-mail, números de telefone e até informações relacionadas a cartões de crédito.

O iFood, no entanto, contestou essa versão. De acordo com a empresa, as análises realizadas não identificaram evidências de um vazamento na proporção divulgada nos fóruns clandestinos. A companhia sustenta que o material disponibilizado na internet está relacionado exclusivamente ao incidente registrado no fim do ano passado.

Ainda conforme o comunicado, não houve comprometimento de senhas, meios de pagamento, registros financeiros ou dados bancários dos usuários afetados. A empresa afirma que as informações expostas se limitam a dados cadastrais básicos.

Apesar disso, especialistas em segurança digital alertam que esse tipo de informação pode ser valioso para criminosos virtuais. Combinados, dados como nome completo, CPF, telefone e e-mail podem ser utilizados para tentativas de fraude, falsificação de identidade e campanhas de engenharia social.

Uma das práticas mais comuns é o chamado phishing, golpe em que criminosos se passam por empresas, bancos ou instituições para convencer vítimas a fornecer senhas e outras informações sigilosas. Outra modalidade crescente é o smishing, realizado por meio de mensagens de texto enviadas para celulares.

A empresa informou ainda que não comunicou formalmente o incidente à Autoridade Nacional de Proteção de Dados (ANPD). Segundo o iFood, a decisão foi baseada no entendimento de que o episódio não apresentou risco ou dano relevante aos titulares das informações, conforme os critérios regulatórios atualmente vigentes.

Quer saber mais de Brasil? Acesse o nosso canal no WhatsApp

Enquanto isso, a repercussão do caso aumentou após a publicação de mensagens atribuídas ao suposto responsável pela divulgação dos dados. De acordo com relatos de plataformas que monitoram atividades na dark web, o indivíduo teria solicitado contato da empresa até o próximo dia 10 de junho, mencionando uma possível negociação sem revelar valores.