iFood confirma vazamento de dados de 1,2 milhão de clientes; falha no sistema judicial pode ter exposto muito mais

iFood confirma vazamento de dados de 1,2 milhão de clientes; falha no sistema judicial pode ter exposto muito mais

Uma vulnerabilidade técnica no sistema interno que o iFood utiliza para responder a solicitações de autoridades governamentais e judiciais abriu caminho para a exposição de dados cadastrais de ao menos 1,2 milhão de clientes da plataforma. O incidente, ocorrido em dezembro de 2025, só foi confirmado publicamente pela empresa em junho de 2026 — e a notificação formal à Autoridade Nacional de Proteção de Dados (ANPD) aconteceu apenas após informações sobre o ataque começarem a circular em fóruns da dark web.

A falha técnica e o sistema vulnerável

O problema está no SIRA, sigla para Sistema de Resposta às Autoridades, portal criado pelo iFood para gerenciar requisições legais de órgãos como polícia, Ministério Público e defensores públicos. Segundo apuração do TecMundo, a brecha explorada é conhecida como IDOR — Insecure Direct Object Reference, um tipo de falha que permite a um atacante acessar registros de outros usuários simplesmente manipulando identificadores na requisição, sem necessitar de credenciais válidas. A vulnerabilidade teria ficado ativa por cerca de três meses, permitindo extração silenciosa de dados sem acionar os sistemas convencionais de monitoramento.

Entre os registros comprometidos estão informações sensíveis de clientes — nomes completos, CPFs, números de telefone, endereços de entrega e dados de cartão de crédito parcialmente mascarados, sem CVV ou data de validade. Além disso, a investigação identificou dois outros conjuntos de dados expostos: cerca de 24 mil cadastros de servidores públicos — incluindo policiais, promotores e procuradores que utilizavam o SIRA —, além de credenciais de 35 funcionários internos da própria empresa, com informações sobre cargos, departamentos e níveis de acesso.

Da negação à confirmação — com meses de atraso

A sequência de eventos que levou o incidente a público começou em 28 de maio de 2026, quando um hacker conhecido pelo apelido "bacen" anunciou a posse dos dados em canais do submundo digital. No dia seguinte, ao ser contactado pelo TecMundo com amostras do material, o iFood negou qualquer ocorrência. Apenas em 2 de junho a empresa recuou e reconheceu formalmente o vazamento, atribuindo-o ao incidente de dezembro de 2025.

O intervalo de aproximadamente seis meses entre a detecção interna e a notificação às autoridades regulatórias — acompanhado da negação inicial à imprensa — levanta questões sobre o cumprimento das obrigações previstas na Lei Geral de Proteção de Dados (LGPD), que estabelece prazos e critérios para comunicação de incidentes à ANPD e aos próprios titulares dos dados afetados.

A incerteza sobre a real dimensão do vazamento

O iFood sustenta que os 1,2 milhão de clientes afetados representam cerca de 2% de sua base ativa e que dados financeiros críticos — senhas, métodos de pagamento completos e registros financeiros — não foram comprometidos. Porém, a empresa não apresentou metodologia ou auditoria independente para sustentar esse número. Criminosos chegaram a alegar, em diferentes momentos, volumes de 43,8 milhões e 4 milhões de registros — cifras que tampouco foram verificadas por terceiros.

Institutos de segurança digital ressaltam que a combinação de CPF, nome completo e histórico de endereços já é suficiente para ataques sofisticados de engenharia social, como ligações ou mensagens fraudulentas se passando pelo suporte do iFood. Para quem suspeitar ter sido afetado, as recomendações incluem desconfiar de contatos não solicitados por WhatsApp, SMS ou e-mail, verificar comunicações exclusivamente pelos canais oficiais da plataforma e registrar eventuais irregularidades perante a ANPD.

Um alerta que vai além do iFood

O episódio evidencia um ponto de vulnerabilidade estrutural frequentemente negligenciado: os sistemas criados para facilitar o cumprimento de obrigações legais junto a autoridades podem, paradoxalmente, se tornar vetores de exposição em massa quando não recebem o mesmo rigor de segurança aplicado às interfaces voltadas ao consumidor. Com a ANPD notificada e os dados em circulação, o próximo capítulo do caso envolve a resposta regulatória e a eventual responsabilização da empresa perante os milhões de brasileiros cujas informações podem estar comprometidas.

Fonte original: iFood confirma vazamento de dados de 1,2 milhão de clientes, mas incidente pode ser ainda maior — TecMundo