iFood confirma vazamento de dados de 1,2 milhão de usuários; CPFs e nomes foram expostos

iFood admite brecha: 1,2 milhão de cadastros expostos em incidente de dezembro

O iFood reconheceu publicamente, nesta terça-feira (3), que sofreu um vazamento de dados que afetou cerca de 1,2 milhão de usuários — o equivalente a aproximadamente 2% de sua base de clientes. O incidente, que segundo a empresa ocorreu em dezembro de 2025, resultou na exposição de informações cadastrais como nomes e CPFs. A companhia ressaltou que senhas de acesso, meios de pagamento e dados bancários não foram atingidos pela brecha.

O que foi comprometido — e o que não foi

De acordo com o comunicado oficial divulgado pelo iFood, o incidente foi identificado e contido pelos próprios protocolos internos de segurança da empresa. A plataforma afirma que a situação "não acarretou risco ou dano relevante aos clientes" e que todas as medidas foram adotadas em conformidade com a Lei Geral de Proteção de Dados (LGPD). A exposição ficou restrita a dados cadastrais básicos — nome completo e CPF —, sem que informações sensíveis financeiras ou de autenticação fossem acessadas por agentes externos.

A disputa com os números do BreachForums

A confirmação da empresa veio como resposta direta à repercussão de publicações no fórum BreachForums, onde um usuário alegou possuir um banco de dados com informações de mais de 43,84 milhões de clientes do iFood, contendo supostamente CPFs, nomes, endereços de e-mail, números de telefone e dados de cartões de crédito. O iFood negou categoricamente a escala do incidente descrita pelo ator malicioso, reafirmando que o número real de afetados é de cerca de 1,2 milhão de pessoas e que dados de pagamento não integram o conjunto exposto. A divergência entre as versões — a corporativa e a do fórum clandestino — é comum nesse tipo de episódio e não pode ser resolvida sem uma perícia independente dos arquivos divulgados.

Contexto e implicações para os usuários

Ainda que o iFood minimize o impacto do vazamento, a exposição de CPFs é motivo de atenção. O número de CPF, combinado com o nome completo, é frequentemente utilizado em esquemas de engenharia social, abertura fraudulenta de contas e tentativas de golpe por telefone ou mensagem. Especialistas em segurança recomendam que usuários afetados fiquem atentos a contatos suspeitos se passando por instituições financeiras ou pelo próprio iFood, além de monitorar seus dados no Registrato do Banco Central e em serviços de alertas de crédito. A empresa não detalhou se notificará individualmente os 1,2 milhão de usuários cujos dados foram expostos, obrigação prevista pela LGPD em casos de vazamento com potencial de dano.

Fonte: Poder360 — publicado em 3 de junho de 2026.