Por Paulo Ricardo Martins e Felipe Machado Maia

(Folhapress) – O iFood disse nesta quarta-feira (3) que registrou o vazamento de dados de 1,2 milhão de seus usuários, o que equivale a 2% da base de usuários da empresa. Segundo a companhia, o ataque de hackers ocorreu em dezembro de 2025, mas teria sido contido rapidamente.

A confirmação veio depois que um usuário do BreachForums —fórum de hackers na dark web onde há compra e venda de material roubado— disse, na semana passada, que possuía dados de mais de 43,84 milhões de clientes brasileiros do iFood, incluindo CPF (Cadastro de Pessoa Física), nomes, emails, telefones e informações de cartões de crédito.

Em nota, a companhia disse que “não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados”.

“Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança”, escreveu em nota. “O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da nossa base de usuários.”

A empresa afirma que não notificou a ANPD (Autoridade Nacional de Produção de Dados), porque “o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios”.

A ANPD (Agência Nacional de Proteção de Dados) disse à Folha que já notificou o iFood para que a empresa preste as informações necessárias sobre o vazamento.

A agência afirmou que, segundo o Regulamento de Comunicação de Incidentes, o controlador de dados tem o dever de comunicar, à ANPD e aos titulares dos dados pessoais, em até três dias úteis, os incidentes de segurança que possam acarretar risco ou dano relevante aos titulares.

“Essa avaliação de risco deve considerar, entre outros fatores, a natureza dos dados afetados, o volume de titulares impactados e os potenciais efeitos decorrentes do incidente. Mesmo em situações em que ainda haja dúvidas sobre a extensão dos riscos e danos envolvidos, o controlador deve adotar medidas preventivas e mitigatórias adequadas”, afirma.

Segundo o Dark Web Informer, site sobre cibersegurança que monitora fóruns da dark web, o vazamento poderia possibilitar fraudes de identidade e financeiras em larga escala contra dezenas de milhões de brasileiros, por meio do uso de CPFs e dados de cartões de crédito, incluindo campanhas massivas de phishing e smishing (golpes por e-mail e SMS) utilizando emails e números de telefone verificados.

O suposto hacker, chamado “bacen”, pediu que o iFood entrasse em contato até 10 de junho e pagasse uma quantia não especificada na publicação.