iFood confirma vazamento de dados de 1,2 milhão de clientes e notifica a ANPD

Dados de 1,2 milhão de clientes do iFood são expostos em brecha descoberta meses após o incidente

O iFood confirmou publicamente, na primeira semana de junho de 2026, que informações pessoais de cerca de 1,2 milhão de clientes cadastrados em sua plataforma foram acessadas de forma indevida por terceiros. O incidente, que representa aproximadamente 2% da base ativa de usuários da empresa, teve origem em dezembro de 2025 — mas só veio a público após a conclusão de auditorias internas e a notificação formal à Autoridade Nacional de Proteção de Dados (ANPD), obrigação prevista pela Lei Geral de Proteção de Dados (LGPD).

A falha e o sistema comprometido

Segundo informações divulgadas pela própria empresa e apuradas por veículos especializados, a brecha ocorreu no SIRA — Sistema iFood de Resposta às Autoridades —, uma infraestrutura criada especificamente para atender requisições judiciais, administrativas e governamentais. O ataque se valeu de credenciais vinculadas a um órgão externo que haviam sido comprometidas fora dos sistemas do iFood, permitindo que terceiros acessassem um portal de uso restrito e extraíssem dados de forma gradual ao longo de meses, escapando dos mecanismos convencionais de monitoramento. Relatórios iniciais chegaram a afirmar que o volume de registros afetados alcançaria 43,8 milhões, mas a empresa contestou esse número e circunscreveu o alcance real a 1,2 milhão de titulares — número que o próprio comunicado oficial elevaria para cerca de 1,5 milhão em sua versão mais detalhada.

O que foi exposto — e o que foi preservado

Os dados comprometidos se limitam a informações cadastrais: nome completo, CPF, endereço de e-mail, número de telefone e histórico de endereços dos clientes afetados. De acordo com o iFood, senhas de acesso, informações bancárias e dados de cartões de crédito permaneceram intactos. Ainda assim, especialistas em segurança alertam para os riscos concretos que a combinação de CPF e histórico de endereços representa: criminosos podem usar essas informações para engenharia social sofisticada, como se passar por atendentes do iFood, confirmar dados pessoais para ganhar a confiança da vítima e, a partir daí, obter credenciais bancárias por outros meios.

Resposta da empresa e próximos passos regulatórios

O iFood afirmou ter bloqueado imediatamente o canal de acesso não autorizado após a detecção do incidente, reforçado os mecanismos de autenticação em seus servidores e preservado os registros necessários para a apuração completa do caso. A empresa comunicou que não há necessidade, por parte dos usuários afetados, de alterar senhas ou adotar medidas adicionais de segurança — orientação que vale especificamente para o acesso à própria plataforma. A ANPD, por sua vez, deverá avaliar se as proteções implementadas pelo iFood eram adequadas e se todas as obrigações legais foram cumpridas no prazo, com possibilidade de aplicação de sanções previstas na LGPD caso se conclua que houve negligência na salvaguarda dos dados.

Um alerta sobre infraestruturas de acesso privilegiado

O incidente acende um sinal de alerta que transcende o iFood. O fato de a brecha ter se originado justamente no sistema destinado ao atendimento de autoridades — uma camada de acesso privilegiado, por definição menos exposta ao escrutínio público — revela uma vulnerabilidade estrutural que outras grandes plataformas brasileiras também podem compartilhar. Canais criados para facilitar o cumprimento de obrigações legais tornam-se, paradoxalmente, vetores de risco quando suas credenciais de acesso não recebem proteção equivalente à dos sistemas principais. O episódio reforça a urgência de auditorias periódicas em toda a cadeia de acesso a dados sensíveis, não apenas nas interfaces voltadas ao consumidor final.

Fonte: Tecnoblog