Clientes do Ifood recebem péssima notícia: vazamento expõe dados de 1,2 milhão de usuários, incluindo CPF, telefone e endereço; falha investigada teria operado por meses e suspeitas envolvendo até 43,8 milhões de cadastros ampliam a preocupação.

Confirmação do iFood sobre vazamento reacende alerta entre clientes, enquanto a suspeita de uma base muito maior segue sem comprovação independente e aumenta a atenção sobre CPF, telefone, endereço e tentativas de fraude com dados pessoais expostos.

O iFood confirmou que um vazamento de dados atingiu cerca de 1,2 milhão de usuários, número equivalente a aproximadamente 2% de sua base de clientes, após a circulação de amostras atribuídas a criminosos em fóruns online.

Segundo a empresa, o episódio envolveu dados cadastrais, como nome e CPF, sem comprometimento de senhas, meios de pagamento ou registros financeiros.

A confirmação ocorreu depois de uma apuração do TecMundo, que recebeu arquivos apresentados como evidências do incidente e encaminhou o material à plataforma.

O caso ganhou força após um usuário identificado como “bacen” afirmar, em 28 de maio de 2026, que teria acesso a dados de 43,8 milhões de clientes do aplicativo, número que não foi comprovado de forma independente até agora.

Segundo o iFood, o material analisado estaria ligado a um incidente interno ocorrido em dezembro de 2025, classificado pela empresa como isolado e rapidamente neutralizado por seus protocolos de segurança.

Em nota divulgada à imprensa, a companhia afirmou não ter encontrado evidências de que 43 milhões de registros tenham sido expostos.

A situação, porém, ainda levanta preocupação porque as amostras atribuídas ao vazamento incluem informações suficientes para facilitar tentativas de fraude, como nome completo, CPF, telefone e endereço.

Embora esses dados não sejam financeiros, eles podem ser usados em golpes de engenharia social, especialmente quando combinados com informações já disponíveis em outros vazamentos.

iFood confirma vazamento de dados de clientes

A empresa sustenta que o episódio confirmado afetou apenas uma fração da base de clientes e não envolveu senhas, cartões, dados bancários ou registros financeiros de transações realizadas na plataforma.

O iFood também informou que seguiu os procedimentos previstos na legislação brasileira de proteção de dados.

A Autoridade Nacional de Proteção de Dados, segundo a Folha de S.Paulo, notificou o iFood para que a companhia prestasse as informações necessárias sobre o caso.

A atuação da ANPD é relevante porque a Lei Geral de Proteção de Dados prevê deveres de comunicação, mitigação de riscos e adoção de medidas de segurança em incidentes envolvendo dados pessoais.

O posicionamento oficial contrasta com a versão atribuída aos agentes de ameaça, que afirmam se tratar de um vazamento mais amplo e recente.

Até o momento, no entanto, não há comprovação pública independente de que a base citada pelos criminosos, com dezenas de milhões de registros, exista na dimensão alegada.

Arquivos analisados apontam possível falha em sistema de apoio

Assista o vídeo

De acordo com a apuração publicada pelo TecMundo, os arquivos encaminhados à redação tinham estrutura padronizada e indicavam um possível acesso indevido a um sistema de apoio relacionado ao iFood.

Os documentos analisados incluíam registros de usuários administrativos e informações vinculadas a órgãos públicos, o que reforçou a necessidade de checagem técnica do material.

Um dos criminosos, identificado como Harold Baker, afirmou que a falha explorada seria do tipo IDOR, sigla em inglês para Referência Direta Insegura a Objetos.

Esse tipo de vulnerabilidade ocorre quando um sistema permite acesso a informações sem verificar corretamente se o usuário tem autorização para consultar aquele conteúdo.

Na prática, uma falha desse tipo pode permitir que uma pessoa autenticada acesse dados de terceiros ao manipular identificadores internos, caso o sistema não faça a validação adequada de permissão.

A descrição apresentada pelos criminosos, porém, não confirma por si só a extensão do incidente nem substitui uma investigação técnica completa.

Ainda segundo o relato atribuído ao agente de ameaça, a exploração teria ocorrido por cerca de três meses e teria partido do acesso a uma conta comprometida ligada a uma autoridade policial.

Essa alegação não foi comprovada publicamente de maneira independente, e o próprio TecMundo informou que não recebeu evidências suficientes para confirmar todos os números citados pelos criminosos.

CPF, telefone e endereço elevam risco de golpes

Dados cadastrais não têm o mesmo enquadramento jurídico de dados sensíveis, mas ainda representam risco relevante para os titulares quando expostos em conjunto.

Pela LGPD, dado pessoal é qualquer informação relacionada a pessoa natural identificada ou identificável, enquanto dados sensíveis envolvem origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, genética ou biometria.

No caso atribuído ao iFood, as informações descritas até agora se enquadram como dados pessoais, não como dados sensíveis.

Ainda assim, nome completo, CPF, telefone e endereço podem permitir abordagens falsas mais convincentes, principalmente em ligações, mensagens por aplicativos ou tentativas de atualização cadastral fraudulenta.

Um golpista que tenha acesso a esses dados pode se passar por funcionário de uma empresa, citar informações reais para ganhar confiança e tentar obter códigos, senhas ou outros detalhes que não apareceram no vazamento.

Por isso, a ausência de dados financeiros não elimina o risco para os usuários afetados.

A exposição também pode facilitar o cruzamento com bases antigas já vazadas em outros incidentes.

Quando informações de diferentes fontes são combinadas, criminosos conseguem montar perfis mais completos das vítimas, o que aumenta a chance de golpes direcionados e dificulta a identificação imediata da origem do problema.

Suspeita de 43,8 milhões de cadastros segue sem comprovação

A principal divergência do caso está no tamanho da exposição.

O iFood reconhece cerca de 1,2 milhão de usuários afetados, enquanto os criminosos afirmam que o volume poderia chegar a 43,8 milhões de cadastros.

A diferença é significativa e, até agora, não há evidência pública que confirme o número maior.

O TecMundo informou que as primeiras amostras divulgadas eram pequenas e não tinham metadados suficientes para indicar a data do vazamento ou medir sua extensão.

Depois, novos arquivos enviados à redação apresentaram estrutura mais consistente, mas ainda não permitiram comprovar de forma independente a quantidade total de usuários atingidos.

Na publicação inicial, o usuário “bacen” teria estabelecido 10 de junho de 2026 como prazo para negociações com o iFood.

Esse tipo de prazo é comum em tentativas de extorsão digital, nas quais criminosos pressionam empresas a pagar para impedir a divulgação ou venda de dados obtidos ilegalmente.

Até a última atualização pública localizada, não havia confirmação de acordo entre as partes nem valor de resgate divulgado.

Também não havia prova de que uma base completa com 43,8 milhões de usuários tivesse sido publicada integralmente, além das amostras mencionadas nas reportagens sobre o caso.

Para os clientes, a recomendação prática é desconfiar de contatos que citem dados pessoais para pedir senhas, códigos enviados por SMS, confirmações bancárias ou atualizações urgentes de cadastro.

Empresas legítimas não devem solicitar esse tipo de informação por telefone ou mensagem sem autenticação segura.

O caso segue em apuração e depende de novos elementos técnicos para esclarecer se houve apenas o incidente reconhecido pela empresa ou se existe uma segunda base, como alegam os criminosos.

Por ora, o dado confirmado é o vazamento de aproximadamente 1,2 milhão de usuários, enquanto a suspeita envolvendo 43,8 milhões de cadastros permanece sem comprovação independente.

Inscreva-se

Entre com

Entrar

Eu concordo em criar minha conta

Quando você faz login pela primeira vez usando um botão de Login Social, coletamos informações de perfil público de sua conta compartilhadas pelo provedor de Login Social, com base em suas configurações de privacidade. Também obtemos seu endereço de e-mail para criar automaticamente uma conta para você em nosso site. Depois que sua conta for criada, você estará conectado a esta conta.

Não concordoConcordo

Notificar de

novos comentários de acompanhamento novas respostas aos meus comentários

Label

Nome*

Email*

Salvar meus dados para a próxima vez que eu comentar

Salvar meu nome, e-mail e site nos cookies deste navegador para a próxima vez que eu comentar.

ONESIGNAL ID

ONESIGNAL ID

Eu concordo em criar minha conta

Quando você faz login pela primeira vez usando um botão de Login Social, coletamos informações de perfil público de sua conta compartilhadas pelo provedor de Login Social, com base em suas configurações de privacidade. Também obtemos seu endereço de e-mail para criar automaticamente uma conta para você em nosso site. Depois que sua conta for criada, você estará conectado a esta conta.

Não concordoConcordo

Label

Nome*

Email*

Salvar meus dados para a próxima vez que eu comentar

Salvar meu nome, e-mail e site nos cookies deste navegador para a próxima vez que eu comentar.

ONESIGNAL ID

ONESIGNAL ID

0 Comentários

Mais recente

Mais antigos Mais votado