Vazamento de dados no iFood atinge 1,2 milhão de usuários; saiba o que foi exposto

O iFood admitiu o vazamento de dados de 1,2 milhão de contas após incidente de segurança ocorrido em dezembro de 2025. Nomes e CPFs foram expostos, mas a empresa garante que senhas e dados bancários seguem protegidos sob protocolos da LGPD.

O iFood, maior plataforma de delivery de alimentos da América Latina, confirmou nesta quarta-feira (3) que foi alvo de um incidente de segurança que resultou no vazamento de informações de aproximadamente 1,2 milhão de usuários. De acordo com o comunicado oficial emitido pela companhia, a falha ocorreu em dezembro de 2025 e foi detectada e estancada pelos sistemas de proteção interna. Embora o número de contas afetadas seja expressivo em termos absolutos, a empresa ressalta que o volume representa cerca de 2% de toda a sua base de clientes cadastrados, tentando tranquilizar o mercado sobre a escala da exposição.

A exposição de dados no ambiente digital brasileiro tem se tornado uma preocupação recorrente para autoridades e consumidores, especialmente com a consolidação da economia de plataformas. No caso específico do iFood, os dados comprometidos incluem nomes completos e CPFs dos usuários. Contudo, a gigante da tecnologia garantiu que as credenciais de acesso, como senhas de login, não foram acessadas por terceiros não autorizados. Esse detalhe é considerado crucial por especialistas em cibersegurança, pois impede que criminosos tomem o controle direto das contas para realizar pedidos fraudulentos ou alterar dados cadastrais de forma imediata.

Outro ponto fundamental destacado no relatório de danos da empresa é a integridade dos dados financeiros. Segundo o iFood, não houve qualquer vazamento de números de cartões de crédito, chaves Pix ou detalhes de contas bancárias vinculadas ao aplicativo. A plataforma utiliza camadas de criptografia e processadores de pagamento externos que, segundo a nota, permaneceram invioláveis durante o incidente. Esse isolamento das informações financeiras é uma exigência técnica para operações de grande porte e serve como uma barreira de contenção para evitar prejuízos monetários diretos aos consumidores afetados.

A ocorrência levanta discussões sobre o cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil. O iFood declarou que agiu em total conformidade com a legislação vigente, notificando os órgãos competentes e trabalhando na remediação das vulnerabilidades assim que o problema foi identificado em dezembro. Para o leitor brasileiro, o incidente reforça a necessidade de vigilância constante, uma vez que o CPF é um dado sensível que, embora não permita o acesso direto à conta bancária, pode ser utilizado por golpistas para tentativas de 'phishing' — quando criminosos se passam por empresas reais para obter mais informações através de mensagens ou e-mails falsos.

Como desdobramento imediato, o iFood recomenda que os usuários fiquem atentos a comunicações suspeitas e reforça que todos os avisos oficiais da plataforma ocorrem exclusivamente dentro do aplicativo ou por canais de atendimento verificados. Espera-se que a Autoridade Nacional de Proteção de Dados (ANPD) acompanhe o caso para verificar se os protocolos de segurança foram suficientes e se o tempo de resposta entre o incidente e a divulgação pública seguiu os parâmetros legais exigidos. Para o consumidor, a orientação é manter o aplicativo sempre atualizado e utilizar ferramentas de autenticação em duas etapas sempre que disponíveis.

Este episódio insere-se em um contexto de aumento de ataques cibernéticos contra empresas de tecnologia no Brasil, que detêm vastos bancos de dados sobre os hábitos de consumo e informações pessoais da população. O desafio das plataformas agora reside não apenas em impedir novas invasões, mas em restaurar a confiança de uma base de usuários cada vez mais consciente de seus direitos fundamentais à privacidade de dados. A transparência no tratamento desse vazamento será determinante para a imagem da marca nos próximos meses, enquanto o mercado monitora possíveis sanções administrativas ou judiciais oriundas do caso.