O aplicativo de entregas iFood confirmou publicamente, nesta quarta-feira, dia 3 de junho, que sofreu um ataque cibernético que resultou no vazamento de informações de seus usuários. De acordo com a empresa, a invasão ocorreu em dezembro de 2025 e atingiu cerca de 2% de toda a sua base de clientes, o que representa aproximadamente 1,2 milhão de pessoas. O iFood garantiu que a ação foi rapidamente identificada e controlada por suas equipes de tecnologia.
A companhia explicou que o problema ficou restrito a dados cadastrais simples, como os nomes completos e os números de CPF dos usuários afetados. Em nota oficial, a plataforma enfatizou que o episódio foi um fato isolado e que as senhas de acesso, os históricos financeiros e as informações sobre cartões de crédito ou outras formas de pagamento cadastradas no aplicativo permaneceram totalmente protegidas e intocadas.
Por considerar que o vazamento não trazia riscos graves ou prejuízos reais para os clientes, o iFood optou por não reportar a situação para a Autoridade Nacional de Proteção de Dados (ANPD). No entanto, o órgão federal confirmou que, embora não tenha sido avisado espontaneamente pela empresa, já notificou a direção do aplicativo exigindo esclarecimentos detalhados sobre o ocorrido. A ANPD relembrou que a Lei Geral de Proteção de Dados (LGPD) obriga as empresas a comunicarem falhas de segurança em até três dias úteis quando houver possibilidade de danos relevantes aos cidadãos, e reforçou que a análise sobre o tamanho do risco deve levar em conta o volume de pessoas afetadas e o tipo de informação exposta.
O caso ganhou força após um alerta emitido pelo site especializado em cibersegurança Dark Web Informer. Segundo o monitoramento, um invasor publicou em um fórum de criminosos digitais a afirmação de que teria roubado os dados de quase 44 milhões de contas do iFood, incluindo telefones, e-mails e até dados bancários. O golpista chegou a fixar o dia 10 de junho como prazo para a empresa pagar um resgate financeiro em troca do material. O iFood, por sua vez, rebateu a acusação do hacker de forma categórica, negando que o ataque tenha tido essa proporção gigante e reafirmando que apenas as informações cadastrais de 1,2 milhão de clientes foram expostas.
