iFood tem dados de 1,2 milhão de clientes expostos: o que se sabe sobre o vazamento e os riscos para os usuários
O iFood confirmou um incidente de segurança que expôs informações cadastrais de cerca de 2% de sua base de usuários, o que corresponde a aproximadamente 1,2 milhão de pessoas. Entre os dados acessados de forma indevida estão nomes completos e CPFs de clientes da plataforma de delivery.
A ação maliciosa ocorreu em dezembro de 2025, mas só veio a público meses depois, após uma apuração jornalística. Um indivíduo que se identificou como “Harold Baker” entrou em contato com a imprensa especializada e entregou três amostras de dados supostamente obtidos a partir de sistemas do iFood. O material foi então compartilhado com a empresa, que, após análise interna, reconheceu que se tratava de um incidente real, embora classificado como “isolado” e rapidamente contido.
Quais dados foram expostos
Segundo o próprio iFood, o vazamento envolveu dados estritamente cadastrais, principalmente:
– Nome completo
– CPF
A companhia afirma que não houve comprometimento de:
– Senhas de acesso
– Meios de pagamento
– Registros financeiros
Ou seja, de acordo com a empresa, informações como dados completos de cartões de crédito, senhas e transações financeiras não teriam sido acessadas de forma indevida.
No entanto, a análise das amostras realizadas por veículos de tecnologia revela um conjunto de informações mais amplo. Em um dos conjuntos apresentados, constavam dados de quatro clientes, incluindo:
– CPF
– Nome completo
– Número de telefone
– Endereço de e-mail
– CPFs associados
– Histórico de endereços de entrega
Também foram encontrados dados parciais de cartões de crédito: os números não estavam completos e faltavam a data de validade e o código de segurança, o que reduz o risco de uso direto para compras, mas não elimina a possibilidade de uso em golpes de engenharia social.
Outras duas amostras continham cadastros de funcionários do próprio iFood e de servidores de órgãos públicos. A origem provável das informações, de acordo com o suposto responsável pelo vazamento, seria um portal do iFood voltado a solicitações judiciais, administrativas e demandas de vigilância sanitária.
Versão oficial do iFood e contestação sobre 43 milhões de registros
Após a divulgação das amostras, um perfil anônimo passou a afirmar que o vazamento teria atingido 43 milhões de usuários, incluindo dados sensíveis como cartões de crédito e endereços de e-mail em larga escala.
O iFood negou essa versão. Em nota pública, a empresa declarou que:
– Não encontrou qualquer evidência de exposição de dados de 43 milhões de usuários.
– As análises internas apontam para um único incidente, já neutralizado, ocorrido em dezembro de 2025.
– O impacto foi restrito a cerca de 2% da base de clientes.
– Os dados afetados foram cadastrais (nome e CPF), sem comprometimento de senhas, meios de pagamento ou registros financeiros.
A empresa reforçou ainda que todas as comunicações com consumidores são feitas exclusivamente pelos canais oficiais da plataforma e que a segurança da comunidade é tratada como prioridade.
Tratamento do incidente à luz da LGPD
O iFood informou que o caso foi tratado em conformidade com a Lei Geral de Proteção de Dados (LGPD). De acordo com a legislação e com critérios definidos pela Autoridade Nacional de Proteção de Dados (ANPD), nem todo incidente de segurança exige notificação pública e reporte formal às autoridades.
A própria LGPD prevê que o controlador de dados pode deixar de comunicar o incidente quando concluir que não há risco ou dano relevante aos titulares das informações. Na nota, o iFood sustenta que esse foi o entendimento aplicado ao episódio, com base em:
– Natureza dos dados expostos (cadastrais, sem senhas ou dados completos de cartão)
– Ausência, até o momento, de evidências de uso amplo ou continuidade do ataque
– Rapidez na contenção do incidente, segundo a empresa
Ainda assim, o vazamento de nomes e CPFs em grande escala é considerado um fator de risco significativo para golpes de engenharia social, abertura fraudulenta de contas e tentativas de extorsão, principalmente quando combinado com dados obtidos em outros vazamentos já conhecidos no país.
Risco de golpes com dados cadastrais
Muitas pessoas subestimam o valor de dados como nome completo e CPF, por não envolverem diretamente saldo bancário ou limite de cartão. Na prática, porém, essas informações são suficientes para uma série de fraudes, entre elas:
– Golpes por telefone ou mensagem: criminosos se passam por atendentes de bancos, operadoras ou da própria plataforma, usando nome e CPF para ganhar credibilidade e induzir a vítima a fornecer senhas e códigos.
– Abertura de contas e serviços em nome de terceiros: em combinação com outros dados vazados em diferentes incidentes, é possível tentar abrir contas digitais, solicitar crédito ou contratar serviços.
– Refinamento de ataques de phishing: quanto mais detalhada é a base de dados, mais convincente se torna uma mensagem falsa, já que o golpista pode citar endereços, histórico de compras ou telefones.
Por isso, mesmo quando o incidente é classificado como “limitado” do ponto de vista técnico, o impacto real na vida dos titulares pode ser relevante, especialmente se o consumidor não estiver atento a comportamentos suspeitos.
Novo instrumento de proteção: plataforma para registrar exposição de dados
Diante do crescimento de incidentes e fraudes amparadas em engenharia social, o Instituto Empresa lançou uma ferramenta gratuita voltada à proteção de consumidores e investidores. Trata-se da plataforma “vazamento de dados.com” (nome comercial), criada para que as pessoas possam:
– Registrar formalmente que seus dados pessoais ou financeiros foram expostos.
– Documentar o contexto do vazamento ou da suspeita de uso indevido.
– Criar um histórico organizado de incidentes que envolvem informações próprias.
A iniciativa ganha importância justamente em um cenário em que casos como o do iFood se multiplicam e a sensação de vulnerabilidade aumenta. Ao registrar oficialmente a exposição, o titular passa a ter um instrumento adicional para:
– Comprovar que teve seus dados comprometidos, caso precise contestar operações financeiras ou cobranças.
– Apoiar eventuais ações judiciais ou reclamações administrativas.
– Reforçar pedidos de esclarecimento e medidas corretivas junto às empresas envolvidas.
Na visão da entidade responsável pela plataforma, o problema deixou de ser apenas técnico – algo restrito às áreas de segurança da informação – e passou a afetar diretamente a integridade e a vida financeira das pessoas, exigindo ferramentas de apoio ao cidadão.
Como saber se você foi afetado e o que fazer
Embora o iFood não tenha divulgado uma lista de usuários impactados, alguns passos podem ajudar quem teme ter sido atingido pelo vazamento:
1. Verificar comunicações oficiais do iFood
A empresa afirma que entra em contato com usuários apenas por canais oficiais. Desconfie de e-mails ou mensagens pedindo confirmação de senha, código de verificação ou dados de cartão de crédito.
2. Monitorar extratos bancários e faturas
Mesmo que a empresa diga que cartões não foram comprometidos, monitore faturas, extratos e notificações de transações. Qualquer movimentação estranha deve ser contestada imediatamente junto ao banco.
3. Redobrar o cuidado com ligações e mensagens suspeitas
Golpistas podem utilizar seu nome e CPF para tornar abordagens mais críveis. Nunca forneça senhas, códigos de autenticação ou dados completos de cartão por telefone, SMS ou aplicativos de mensagem.
4. Rever senhas e autenticação em duas etapas
Embora o iFood diga que as senhas não foram vazadas, recomenda-se revisar credenciais em serviços críticos (bancos, e-mails, redes sociais) e ativar autenticação em duas etapas sempre que possível.
5. Registrar incidentes em ferramentas especializadas
Plataformas como a do Instituto Empresa permitem criar um histórico do vazamento que pode ser útil em futuras disputas ou comprovações.
LGPD: quais são seus direitos em casos de vazamento
A LGPD garante aos titulares de dados uma série de direitos em situações como essa. Entre os principais:
– Confirmação de tratamento: você pode exigir que a empresa informe se trata ou não dados pessoais seus.
– Acesso aos dados: o consumidor pode solicitar detalhes sobre quais informações estão armazenadas, para qual finalidade e com quem foram compartilhadas.
– Correção de dados incompletos ou desatualizados: caso identifique erros em seu cadastro, tem direito à correção.
– Informação sobre incidentes de segurança: embora nem todo caso exija notificação pública, o titular pode solicitar esclarecimentos diretos sobre incidentes que possam afetá-lo.
– Eliminação de dados desnecessários: quando os dados não são mais necessários para a finalidade originalmente declarada, o usuário pode pedir sua exclusão, observadas as obrigações legais e contratuais da empresa.
Ao tomar conhecimento de um vazamento, é recomendável que o consumidor registre tudo: datas de contatos com a empresa, protocolos, respostas recebidas e qualquer evidência de uso indevido dos dados. Isso fortalece a posição do titular em eventuais disputas com instituições financeiras ou prestadores de serviço.
Engenharia social: por que o risco está aumentando
O caso do iFood se soma a outros vazamentos que vêm se acumulando nos últimos anos, criando um ambiente fértil para fraudes mais sofisticadas. Criminosos raramente dependem de um único banco de dados: eles cruzam informações de diversas fontes, construindo perfis detalhados das vítimas.
Com isso, é possível:
– Simular com precisão o padrão de consumo de uma pessoa.
– Citar compras reais, endereços antigos, números de telefone e até nomes de parentes.
– Personalizar golpes, fazendo com que a vítima acredite estar falando com alguém legítimo.
Quando nome, CPF, telefones, e-mails e histórico de endereços aparecem combinados, a chance de sucesso de um golpe aumenta consideravelmente. O incidente do iFood ilustra como dados “aparentemente inofensivos” são, na prática, peças de um quebra-cabeça muito maior.
Papel das empresas na prevenção e resposta a vazamentos
Para além das obrigações legais, incidentes como esse reforçam a responsabilidade das empresas em três frentes principais:
1. Prevenção técnica
Investir em criptografia, gestão rigorosa de acessos, monitoramento contínuo de sistemas e testes de segurança recorrentes, incluindo os chamados “portais de exceção”, como plataformas usadas para responder a solicitações judiciais e de órgãos de fiscalização.
2. Governança e cultura
Tratar proteção de dados como tema de negócio e não apenas de TI. Isso inclui políticas claras, treinamento frequente de funcionários e revisão constante de contratos com terceiros que tenham acesso a informações sensíveis.
3. Transparência com o consumidor
Em incidentes que envolvem milhões de pessoas, o modo como a comunicação é feita impacta diretamente a confiança do público. Explicar de forma objetiva o que ocorreu, quais dados foram expostos e quais medidas estão sendo adotadas é fundamental para reduzir danos.
O que esperar daqui para frente
O episódio envolvendo o iFood mostra que, mesmo empresas com grande estrutura tecnológica, voltadas ao varejo digital, estão sujeitas a falhas e ataques. A tendência é que casos de vazamento continuem sendo noticiados com frequência, o que reforça duas necessidades simultâneas:
– Consumidores mais conscientes sobre a importância de proteger dados pessoais, desconfiar de abordagens e conhecer seus direitos legais.
– Empresas mais maduras na gestão de segurança da informação, com foco não só na prevenção, mas também na capacidade de resposta rápida, comunicação responsável e reparação de eventuais danos.
Enquanto o ambiente digital se torna mais complexo e interconectado, a proteção de dados deixa de ser apenas um tema técnico e passa a ser uma questão central de cidadania, segurança financeira e confiança nas relações de consumo. O caso do iFood serve como um alerta claro de que nomes e CPFs, sozinhos, já são suficientes para colocar a privacidade e o bolso de milhões de pessoas em risco, especialmente em um mercado onde a engenharia social se tornou a principal arma dos golpistas.