iFood nega vazamento de 43,8 milhões de cadastros, mas Ministério da Justiça já abriu investigação

Um ator desconhecido coloca 43,8 milhões de registros à venda

Um agente de ameaças que usa o pseudônimo 'bacen' declarou, no final de maio de 2026, ter obtido acesso a um banco de dados do iFood contendo 43,8 milhões de registros de usuários brasileiros. Segundo as alegações circuladas em fóruns da dark web e relatadas pelo portal especializado DarkWebInformer, o conjunto de dados incluiria informações altamente sensíveis: CPFs, endereços de e-mail, números de telefone e dados de cartão de crédito. O ator teria ameaçado tornar o material público caso a empresa não atendesse a suas exigências — caracterizando um esquema de extorsão.

iFood nega e diz não ter encontrado evidências de acesso indevido

Diante da repercussão, o iFood se manifestou afirmando que conduziu verificações internas e que não localizou indícios de intrusão nos seus sistemas. A empresa declarou estar investigando o caso com atenção, mas manteve a posição de que não há confirmação de qualquer comprometimento real de dados. Esse tipo de resposta corporativa é comum em situações de suposto vazamento: enquanto a análise forense não se conclui, as empresas evitam reconhecer o incidente para não ampliar a exposição legal e reputacional. A ausência de evidências imediatas, contudo, não equivale à inexistência do problema.

Governo federal entra em cena: Senacon notifica a plataforma

A gravidade das alegações não passou despercebida pelas autoridades. O Ministério da Justiça e Segurança Pública (MJSP), por meio da Secretaria Nacional do Consumidor (Senacon), notificou formalmente o iFood para que a empresa esclarecesse o ocorrido. Entre os pontos investigados estão a confirmação ou negação do vazamento, o volume de dados eventualmente expostos, o envolvimento de terceiros ou prestadores de serviço no incidente e a origem do ataque — se externo ou interno. O iFood recebeu prazo de dez dias para responder ao órgão regulatório, sob pena de enfrentar sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD).

Contexto de risco ampliado para usuários brasileiros

O episódio se insere em um padrão preocupante de ataques direcionados a grandes plataformas de consumo no Brasil, cujas bases de dados são alvos recorrentes por concentrarem informações financeiras e pessoais em larga escala. Caso os dados alegadamente comprometidos sejam autênticos, a exposição de CPFs combinados a números de cartão representaria risco concreto de fraude financeira e roubo de identidade para dezenas de milhões de brasileiros. Especialistas em segurança recomendam que usuários do iFood monitorem extratos bancários, ativem notificações de transações e fiquem atentos a tentativas de phishing que possam explorar os dados eventualmente vazados. A investigação da Senacon e possíveis desdobramentos na Autoridade Nacional de Proteção de Dados (ANPD) devem trazer mais clareza nas próximas semanas.

Fonte original: TecMundo — iFood nega vazamento de dados após criminoso ameaçar exposição de 43,8 milhões de usuários, publicado em 29 de maio de 2026.