FOLHAPRESS
O iFood anunciou nesta quarta-feira (3) que houve o vazamento de informações pessoais de 1,2 milhão de seus usuários, o que representa cerca de 2% da base total da empresa. O ataque cibernético aconteceu em dezembro de 2025, mas foi rapidamente controlado, segundo a companhia.
A confirmação do episódio surgiu após um usuário do fórum de hackers BreachForums, conhecido por negociar dados roubados na dark web, afirmar na semana passada que possuía informações de mais de 43 milhões de clientes brasileiros do iFood, incluindo CPF, nomes, e-mails, telefones e dados de cartão de crédito.
Porém, a empresa declarou que não encontrou qualquer prova de que dados de 43 milhões de pessoas tenham sido expostos.
“Após várias investigações, determinamos que essa informação divulgada na internet refere-se a um incidente isolado de dezembro de 2025, que foi prontamente resolvido pelos nossos sistemas de segurança. Os dados comprometidos foram apenas informações básicas, como nome e CPF, sem risco para senhas, meios de pagamento ou registros financeiros, afetando somente cerca de 2% dos usuários”, informou a empresa em comunicado.
A companhia explicou que não notificou a Autoridade Nacional de Proteção de Dados (ANPD) porque o evento não oferece riscos ou danos significativos conforme a legislação vigente.
“O iFood lamenta o ocorrido e reforça que todas as comunicações são feitas apenas pelos canais oficiais da plataforma”, completou a nota.
Na semana anterior, o iFood tinha declarado que não havia encontrado evidências do vazamento e garantiu que senhas, dados financeiros e meios de pagamento não foram comprometidos.
De acordo com o Dark Web Informer, site especializado em segurança cibernética que monitora atividades na dark web, o vazamento pode levar a fraudes de identidade e financeiras em larga escala contra milhões de brasileiros, com o uso indevido de CPFs e dados de cartões para golpes por e-mail e SMS.
O suposto hacker identificado como “bacen” pediu que o iFood entrasse em contato até 10 de junho e fornecesse um valor não divulgado para evitar a exposição dos dados.
