Empresa admitiu incidente ocorrido em dezembro de 2025 após alegação de 43,84 milhões de registros expostos circular em fórum usado por agentes de ameaças. Em resposta direta ao Crypto ID, o iFood afirmou que o evento envolveu dados cadastrais, como nome e CPF, sem comprometimento de senhas, meios de pagamento ou registros financeiros. A companhia, porém, não esclareceu o vetor técnico do incidente nem informou o recorte geográfico dos usuários afetados
O iFood confirmou, em 3 de junho de 2026, um incidente de segurança que teria exposto dados cadastrais de aproximadamente 1,2 milhão de usuários, o equivalente, segundo a empresa, a cerca de 2% de sua base.
A confirmação ocorreu depois que um agente de ameaças identificado como “bacen” publicou no BreachForums a alegação de que teria 43,84 milhões de registros de usuários brasileiros da plataforma. O iFood contesta essa escala e afirma não ter encontrado evidências de que esse volume de dados tenha sido vazado.
O Crypto ID procurou diretamente o iFood e enviou uma pauta detalhada com a cronologia apurada pela redação e perguntas técnicas sobre o incidente. A empresa respondeu prontamente por meio de nota oficial, mas deixou sem esclarecimento objetivo dois pontos relevantes para a análise do caso: como ocorreu tecnicamente o incidente e qual é o recorte geográfico dos usuários afetados.
Segundo reportagem da Folha de S.Paulo publicada em 3 de junho de 2026, e atualizada no mesmo dia às 19h33, a Autoridade Nacional de Proteção de Dados (ANPD) notificou o iFood para que a empresa preste informações sobre o vazamento.
O que o iFood disse ao Crypto ID
Em posicionamento enviado diretamente à redação do Crypto ID, o iFood afirmou:
“O iFood não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados. Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança. O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da nossa base de usuários.
O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma. A segurança da nossa comunidade é prioridade e seguimos atuando em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD) para aprimorar constantemente nossos sistemas.”
Em complemento, a empresa declarou:
“O incidente foi tratado e avaliado em estrita conformidade com a legislação, que dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD.”
A linha do tempo do incidente
O incidente teria ocorrido em dezembro de 2025. Segundo o iFood, foi um evento isolado e rapidamente neutralizado por seus protocolos de segurança. Naquele momento, não houve comunicação pública nem notificação à ANPD, de acordo com o entendimento informado pela própria companhia.
Em 28 de maio de 2026, um agente de ameaças identificado como “bacen” publicou no BreachForums alegando possuir 43,84 milhões de registros de usuários brasileiros do iFood. A publicação mencionava campos como CPF, nome, e-mail, telefone e dados de cartão de crédito, além de estabelecer prazo para contato com a empresa.
Em 29 de maio, os primeiros veículos de imprensa noticiaram o caso. Naquele momento, o iFood negou ter encontrado evidências de comprometimento em seus sistemas.
Entre 29 de maio e 2 de junho, segundo informações que circularam na imprensa especializada, um segundo interlocutor, identificado como Harold Baker, teria enviado arquivos adicionais a veículos de comunicação e alegado que a origem da brecha estaria no SIRA, portal interno usado pelo iFood para responder a requisições de autoridades públicas.
Em 3 de junho, o iFood confirmou o incidente, mas delimitou o impacto a cerca de 1,2 milhão de usuários e afirmou que os dados envolvidos seriam apenas cadastrais, como nome e CPF, sem comprometimento de senhas, meios de pagamento ou registros financeiros.
Questionamentos levantados pelo Crypto ID
Entre os questionamentos levantados pelo Crypto ID diretamente ao iFood, que respondeu prontamente à nossa solicitação, dois pontos seguem sem esclarecimento objetivo: o vetor técnico do incidente e o recorte geográfico dos usuários afetados.
A redação perguntou se o episódio envolveu acesso não autorizado, exploração de vulnerabilidade, credencial comprometida ou outro mecanismo. A empresa informou que o caso foi rapidamente neutralizado por seus protocolos de segurança, mas não detalhou como a ocorrência se deu.
Também perguntamos se a companhia dispõe de recorte geográfico do impacto sobre os 1,2 milhão de usuários afetados. O iFood não informou essa distribuição.
Essas informações são relevantes para dimensionar o incidente, orientar medidas de prevenção e permitir que usuários, reguladores e o mercado compreendam melhor a extensão do risco.
Nome e CPF não devem ser tratados como dados sem impacto
O fato de o iFood afirmar que não houve comprometimento de senhas, dados bancários ou meios de pagamento é relevante. Ainda assim, a exposição de nome e CPF não deve ser minimizada.
Para o professor de Direito da Universidade Anhembi Morumbi, Pedro Mendonça, o principal risco está na conversão desses dados em insumo para a prática de crimes.
“Nome e CPF, ainda que não sejam dados sensíveis, já bastam, por exemplo, para abertura de contas, contratação de crédito em nome da vítima e golpes que envolvam engenharia social”, afirma.
O professor também chama atenção para o efeito cumulativo dos vazamentos. Mesmo que um incidente exponha um conjunto limitado de dados, essas informações podem ser cruzadas com outras bases já disponíveis no mercado ilícito, ampliando o potencial de dano ao longo do tempo.
Segundo Mendonça, a discussão sobre comunicação aos titulares não é simples, mas a minimização automática do risco pode ser problemática.
“Considero equivocada a minimização dos potenciais riscos do vazamento como justificativa para que não tenham sido feitas as comunicações exigidas pela LGPD, embora eu admita que uma interpretação diversa seja possível”, avalia.
Ele lembra que a Resolução CD/ANPD nº 15/2024 regulamenta o artigo 48 da LGPD e trata dos critérios para avaliação de risco ou dano relevante. Para o professor, o número de pessoas afetadas e a possibilidade de uso dos dados em fraudes devem ser considerados na análise.
A comprovação técnica é tão importante quanto a nota pública
Um dos pontos mais sensíveis do caso é a ausência de detalhes sobre a apuração técnica. O iFood afirma que senhas, meios de pagamento e registros financeiros não foram comprometidos, mas não explicou qual metodologia foi usada para chegar a essa conclusão.
Para Pedro Mendonça, esse ponto é central.
“A rigor, não se trata de confiança, mas de comprovação. A negativa é autodeclaratória, baseada na apuração realizada pela própria empresa. Cabe ao controlador demonstrar a efetividade das medidas de segurança adotadas e a extensão real do incidente, e não ao titular dos dados simplesmente confiar na palavra da empresa.”
Em incidentes envolvendo grandes plataformas, a transparência sobre o escopo, ainda que sem exposição de detalhes que comprometam investigações ou segurança futura, é parte essencial da reconstrução da confiança.
Marco Zanini: segurança digital exige cultura, processos e proteção de identidades
Em conversa com o Crypto ID, Marco Zanini, CEO da DINAMO Networks, avaliou que o episódio reforça uma discussão que vai além dos aspectos técnicos da cibersegurança. Para ele, incidentes envolvendo grandes plataformas digitais não devem ser analisados apenas pelo volume de dados expostos, mas também pela maturidade dos processos de segurança, resposta e governança.
“A cibersegurança deixou de ser uma pauta exclusiva da área de TI e passou a ser um tema estratégico para a sustentabilidade e a credibilidade dos negócios.”
Zanini destaca que, em um cenário no qual consumidores compartilham diariamente informações pessoais com plataformas digitais, incidentes como esse atingem um dos ativos mais importantes de qualquer empresa: a confiança.
“O desafio atual não é apenas impedir ataques, mas construir processos capazes de identificar, responder e aprender com os incidentes antes que eles se transformem em crises de reputação.”
Especialista em segurança digital, criptografia, identidade digital, HSMs e gestão de chaves, a DINAMO Networks atua há mais de 20 anos no desenvolvimento de soluções para proteção de dados e transações críticas. A empresa possui tecnologia própria, certificações internacionais, como FIPS 140-2, e participa de projetos estratégicos do ecossistema financeiro, incluindo o PIX e o Sistema de Pagamentos Brasileiro.
Nesse contexto, o incidente do iFood não deve ser analisado apenas como um vazamento cadastral. Ele também serve como alerta sobre a maturidade dos processos de resposta a incidentes, governança de acessos, proteção de sistemas internos e comunicação com titulares, reguladores e sociedade.
O desafio de proteger dados em empresas cada vez mais tecnológicas
O episódio ocorre em um momento em que o iFood reforça sua imagem como empresa de tecnologia e logística avançada. No ano em que celebra 15 anos de história, a companhia anunciou a expansão do uso de drones para a Grande São Paulo, começando por Barueri, em uma operação multimodal que combina coleta em shopping, robô autônoma Ada, drone operado pela Speedbird Aero e entrega final por motociclista.
Segundo a empresa, o objetivo da operação é solucionar gargalos de rotas com alto índice de rejeição por entregadores, especialmente em regiões de acesso complexo, como grandes condomínios. A rota aérea de 3,6 quilômetros pode ser percorrida em cerca de cinco minutos, com monitoramento em tempo real e certificações da Agência Nacional de Aviação Civil (ANAC) e do Departamento de Controle do Espaço Aéreo (DECEA).
A inovação logística não tem relação direta com o incidente de segurança. Mas o contexto é relevante. Empresas que operam em escala, combinando dados pessoais, inteligência logística, automação, robótica, meios de pagamento, entregadores, restaurantes, consumidores e sistemas internos, precisam tratar segurança da informação como parte estrutural do negócio.
Quanto mais tecnológica e integrada é a operação, maior também é a responsabilidade sobre governança de dados, controle de acessos, rastreabilidade, proteção de credenciais e resposta rápida a incidentes.
O que os usuários devem fazer
Mesmo que o incidente tenha se limitado a nome e CPF, usuários devem redobrar a atenção com golpes de engenharia social, mensagens falsas, links suspeitos e tentativas de confirmação de cadastro por canais não oficiais.
A recomendação é não clicar em links recebidos por SMS, WhatsApp ou e-mail supostamente enviados em nome do iFood, especialmente quando houver pedido de confirmação de dados pessoais, pagamento, senha, token ou atualização cadastral.
Também é recomendável acompanhar movimentações no CPF por meio de ferramentas como Registrato, do Banco Central, birôs de crédito e canais oficiais de alerta de fraude. Caso haja indício de uso indevido dos dados, o usuário deve preservar provas, registrar boletim de ocorrência e, quando cabível, apresentar reclamação à ANPD.
Transparência é parte da mitigação
O Crypto ID optou por não publicar o caso de forma imediata, antes de buscar esclarecimentos adicionais com a empresa e ouvir especialistas em regulação e do mercado de Cybersegurança. Nosso posicionamento editorial em incidentes de segurança sempre é priorizar a apuração, o esclarecimento técnico e a mitigação de riscos, evitando abordagens sensacionalistas.
A questão central não é apenas se foram 43,84 milhões ou 1,2 milhão de registros. A questão é como empresas com grandes bases de usuários identificam, comunicam, documentam e mitigam incidentes que envolvem dados pessoais.
O iFood afirma que agiu em conformidade com a LGPD e que o incidente não gerou risco ou dano relevante aos titulares. A ANPD, por sua vez, segundo reportagem da Folha de S.Paulo publicada em 3 de junho de 2026 e atualizada no mesmo dia às 19h33, notificou o iFood para que a empresa preste informações sobre o vazamento.
O Crypto ID segue acompanhando o caso e permanece aberto a publicar novos esclarecimentos do iFood, especialmente sobre o vetor técnico do incidente, o recorte geográfico dos usuários afetados, os critérios usados para afastar comprometimento de outros dados e eventual comunicação individual aos titulares.
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Inteligência Editorial que Orienta Cenários
Desde 2014, o Crypto ID oferece conteúdo editorial sobre tecnologia de segurança referente à requisitos técnicos e regulatórios. Levamos conhecimento e provocamos reflexões que sustentam decisões em transformação digital e cibersegurança. Temos a força do contexto que impulsiona a comunicação. Fale com a gente contato@cryptoid.com.br
