iFood confirma vazamento de dados de 1,2 milhão de usuários
Escrito por Mariana Silva
AtualizadoO iFood confirmou um vazamento de dados que atingiu cerca de 1,2 milhão de usuários da plataforma. Segundo a empresa, apenas informações cadastrais foram expostas, como nome e CPF, sem comprometimento de senhas, dados bancários ou meios de pagamento.
A companhia informou que não realizou comunicação formal sobre o incidente por entender que o ocorrido não representava risco ou dano relevante aos usuários. A empresa afirma seguir adotando medidas de proteção e atuar em conformidade com a LGPD, a Lei Geral de Proteção de Dados.
O incidente ocorreu em dezembro de 2025, mas só veio a público em 28 de maio de 2026, após criminosos anunciarem a venda de informações no BreachForums (fórum da Dark Web para compra e venda de dados roubados). A origem da brecha foi uma vulnerabilidade no SIRA, o sistema Ifood de Respostas à Autoridades, usado para atender requisições judiciais e de órgãos de segurança pública.
Por que nome e CPF expostos preocupam?
Para Pedro Mendonça, professor de Direito da Universidade Anhembi Morumbi, a avaliação de que o incidente é de baixo risco não se sustenta. "Nome e CPF, ainda que não sejam dados sensíveis, já bastam para abertura de contas, contratação de crédito em nome da vítima e golpes que envolvam engenharia social", afirma o especialista.
O risco aumenta quando esses dados são cruzados com informações de outros vazamentos recentes, como telefone e endereço. Essa combinação viabiliza golpes sofisticados.
Descubra se seus dados vazaram na Dark Web
Mendonça acrescenta que este vazamento se soma a outros incidentes similares recentes, formando um mercado ilícito de dados da população. "Ainda que o vazamento se limite às informações indicadas pelo iFood, elas podem ser cruzadas com outros dados já disponíveis, aumentando o potencial lesivo ao longo do tempo", explica.
ANPD não foi notificada
A Autoridade Nacional de Proteção de Dados confirmou que não recebeu comunicação formal do iFood sobre o incidente e passou a cobrar explicações da empresa apenas após a repercussão pública do caso. A LGPD determina que incidentes com potencial de risco aos titulares sejam comunicados à autoridade e aos usuários em até 3 dias úteis.
O iFood justificou a ausência de notificação alegando que o incidente não configurou "risco ou dano relevante". Para Arthur Igreja, especialista em tecnologia, o argumento não se sustenta: "A lei existe e ela preconiza que exista a notificação."
O Instituto SIGILO, organização dedicada à defesa dos direitos de titulares de dados, anunciou que vai notificar formalmente a ANPD e avalia a propositura de Ação Civil Pública por danos morais coletivos. Usuários que se sentirem prejudicados também podem buscar reparação individualmente na esfera cível, com base nos danos causados pelo incidente.
O que fazer diante do vazamento de dados?
Se você acredita que seus dados podem ter sido expostos, é importante agir rapidamente para reduzir riscos e evitar prejuízos. Algumas medidas simples podem ajudar a identificar fraudes e fortalecer sua proteção digital:
- Monitore seu CPF para identificar movimentações indevidas.
- Registre uma reclamação na ANPD, a Autoridade Nacional de Proteção de Dados, que pode instaurar apuração e aplicar sanções ao iFood.
- Guarde provas de qualquer tentativa de golpe: prints, e-mails e registros de contato suspeito.
- Registre boletim de ocorrência se houver fraude ou uso indevido dos seus dados para crimes.
Acesse a delegacia virtual do seu Estado para registrar e consultar ocorrências. Sofreu um golpe? Formalize sua denúncia e aumente suas chances de resolver o problema.Consulta de B.O
