O iFood confirmou nesta quarta-feira (3) o vazamento de dados cadastrais de 1,2 milhão de clientes e rejeitou a alegação, feita em fórum criminoso, de que 43,8 milhões de usuários teriam sido expostos. A empresa atribui o caso a um incidente interno ocorrido em dezembro de 2025.
Em nota oficial, a companhia afirmou que a exposição se restringiu a informações de cadastro, como nome e CPF, e que senhas, meios de pagamento e registros financeiros não foram comprometidos. O volume reconhecido equivale a cerca de 2% da base ativa do aplicativo no Brasil, estimada em 60 milhões de usuários.
“O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma”, afirmou a empresa.
O ponto central da disputa é o tamanho real do vazamento. Em 28 de maio, um usuário identificado como “bacen” anunciou em fórum criminoso ter em mãos 43,8 milhões de registros do aplicativo. O iFood contesta o volume, mas reconhece que parte da base cadastral foi efetivamente exposta.
O que foi exposto e o que a LGPD exige
A exposição confirmada recai sobre dados usados em cadastros, e não sobre credenciais de acesso ou transações financeiras. Ainda assim, nome e CPF combinados são insumos típicos de golpes de engenharia social, como phishing e tentativas de abertura de contas em nome de terceiros — daí a recomendação reiterada pela empresa de que clientes só respondam a contatos pelos canais oficiais.
A Lei Geral de Proteção de Dados (Lei 13.709/2018) determina que incidentes com risco ou dano relevante sejam comunicados à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em prazo razoável. Vazamentos de grande escala já marcaram o país: em 2021, um caso associado à Serasa expôs 223 milhões de CPFs e tornou-se referência sobre a obrigação de notificação.
Lacunas: ANPD, aviso individual e origem técnica
Até esta quarta-feira, o iFood não informou publicamente quando comunicou a ANPD — se ainda em dezembro de 2025, quando diz ter identificado o incidente, ou apenas após a exposição pública do caso. Também não detalhou se todos os 1,2 milhão de clientes afetados receberam aviso individualizado.
O vetor técnico do incidente segue sem explicação pública. Sem manifestação oficial sobre a origem da falha, não é possível afirmar se houve acesso indevido a sistemas, erro operacional ou exposição interna. As próximas etapas verificáveis são uma eventual posição da ANPD sobre o caso e nova comunicação do iFood aos titulares afetados detalhando data da notificação e o método usado pelos atacantes.
