O iFood disse nesta quarta-feira (3) que registrou o vazamento de dados de 1,2 milhão de seus usuários, o que equivale a 2% da base de usuários da empresa. Segundo a companhia, o ataque de hackers ocorreu em dezembro de 2025, mas teria sido contido rapidamente.

A confirmação veio depois que um usuário do BreachForums fórum de hackers na dark web onde há compra e venda de material roubado disse, na semana passada, que possuía dados de mais de 43,84 milhões de clientes brasileiros do iFood, incluindo CPF (Cadastro de Pessoa Física), nomes, emails, telefones e informações de cartões de crédito.

"Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança. O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da nossa base de usuários", escreveu em nota.

A empresa afirma que não notificou a ANPD (Autoridade Nacional de Produção de Dados), porque "o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios".

"O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma", completou.

Na semana passada, o iFood havia dito que não encontrou evidência do vazamento. "Informamos que não houve qualquer comprometimento de senhas, meios de pagamento ou dados financeiros de usuários e parceiros", escreveu a empresa na ocasião.

A ANPD (Agência Nacional de Proteção de Dados) disse à reportagem que oficiará o iFood para que preste as informações necessárias.

A agência escreveu em nota que, segundo o Regulamento de Comunicação de Incidentes, o controlador de dados tem o dever de comunicar, à ANPD e aos titulares dos dados pessoais, em até três dias úteis, os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

"Essa avaliação de risco deve considerar, entre outros fatores, a natureza dos dados afetados, o volume de titulares impactados e os potenciais efeitos decorrentes do incidente. Mesmo em situações em que ainda haja dúvidas sobre a extensão dos riscos e danos envolvidos, o controlador deve adotar medidas preventivas e mitigatórias adequadas", afirma.

"É importante destacar que o controlador deve sempre agir com cautela ao avaliar as probabilidades de danos a terceiros, de maneira a adotar as medidas preventivas contidas no artigo 48 da LGPD mesmo nos casos em que houver dúvidas quanto à gravidade dos riscos e danos envolvidos. Isso ocorre porque a comunicação do incidente de segurança tem como objetivo não apenas o cumprimento do dever de mitigação do próprio prejuízo pelo controlador, mas sobretudo permitir que a pessoa natural afetada possa tomar medidas preventivas para conter os eventuais danos provocados pelo evento", completou a agência em nota.

Segundo o Dark Web Informer, site sobre cibersegurança que monitora fóruns da dark web, o vazamento poderia possibilitar fraudes de identidade e financeiras em larga escala contra dezenas de milhões de brasileiros, por meio do uso de CPFs e dados de cartões de crédito, incluindo campanhas massivas de phishing e smishing (golpes por e-mail e SMS) utilizando emails e números de telefone verificados.

O suposto hacker, chamado "bacen", pediu que o iFood entrasse em contato até 10 de junho e pagasse uma quantia não especificada na publicação.