iFood: nomes e CPFs de 1,2 milhão de clientes vazados

Vazamento no iFood acende alerta para golpes com dados cadastrais

O iFood confirmou, nesta quarta-feira (3/6), um incidente de segurança que afetou 2% de sua base de usuários, número estimado em 1,2 milhão de pessoas. Entre as informações acessadas indevidamente estavam dados cadastrais como nome e CPF.

A ação maliciosa ocorreu em dezembro de 2025. No entanto, só foi confirmada nesta semana, após uma reportagem do site TecMundo

A publicação foi contactada por um indivíduo identificado como “Harold Baker” e recebeu três amostras de dados, que foram compartilhadas com o iFood. Após análises, a empresa de delivery confirmou, em nota, que “o material disponibilizado na internet se refere a um incidente isolado”.

De acordo com a companhia, o evento “envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros”.

Na análise publicada pelo TecMundo, uma das amostras tem dados de quatro clientes, com informações como CPF, nome completo, número de telefone, e-mail, CPFs associados e histórico de endereços de entrega. Há cartões de crédito, mas os números estão incompletos, e não constam data de validade e código de segurança.

As outras duas amostras envolvem um cadastro de funcionários da empresa e um cadastro de funcionários de órgãos públicos. Faz sentido, já que o suposto responsável pelo vazamento diz que a origem dos dados é um portal do iFood dedicado a solicitações judiciais, administrativas ou de vigilância sanitária.

De acordo com a companhia, o incidente foi contido rapidamente por protocolos internos. Na nota, o iFood negou a informação de que o vazamento teria atingido 43 milhões de pessoas. Esse número foi citado por um perfil anônimo na internet, que ameaçou publicar informações sensíveis dos usuários — como cartões de crédito e e-mails.

O que diz o iFood?

Esta é a nota enviada pelo iFood ao Tecnoblog:

“O iFood não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados. Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança. O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da nossa base de usuários.
O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma. A segurança da nossa comunidade é prioridade e seguimos atuando em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD) para aprimorar constantemente nossos sistemas.”

“O incidente foi tratado e avaliado em estrita conformidade com a legislação, que dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD.”

Instituto Empresa lança ferramenta gratuita de proteção

Plataforma permite que consumidores e investidores registrem formalmente a exposição de informações pessoais e financeiras em meio ao avanço das fraudes por engenharia social

Em um ambiente de vazamentos recorrentes e fraudes cada vez mais sofisticadas, o Instituto Empresa lançou a plataforma gratuita vazamento de dados.com, criada para permitir que consumidores e investidores façam a notificação formal da exposição de seus dados pessoais e financeiros. A iniciativa ganha relevância em meio a episódios recentes que acenderam um alerta no mercado, como o caso envolvendo o iFood, confirmado nesta quarta-feira (3) e que se tornou um exemplo de como vazamentos e exposição de informações podem ampliar o risco de fraudes baseadas em engenharia social. Para a entidade, o episódio mostra que o problema deixou de estar restrito à proteção de sistemas e passou a atingir diretamente a integridade informacional de consumidores e investidores.

A plataforma parte do alerta de que quem não notifica ninguém, acaba facilitando, sem perceber, o próximo golpe contra si mesmo. “Sem registro formal, não há pressão sobre empresas para corrigir a exposição, não há prazo correndo contra os responsáveis e não há prova de que o cidadão agiu com diligência. Enquanto isso, os dados continuam circulando e podem ser usados, mais cedo ou mais tarde, em fraudes com impacto financeiro, emocional ou jurídico”, destaca Nicole Berto, executiva do Instituto Empresa.

O tema ganha peso em um cenário preocupante. Segundo dados apresentados pelo Instituto Empresa, as perdas anuais com fraudes de identidade no Brasil já somam R$ 2,7 bilhões. Além disso, um em cada quatro brasileiros já teve dados expostos em vazamentos, o que amplia o universo de potenciais vítimas e reforça a necessidade de proteção ativa. Outro ponto de atenção é o tempo: o prazo para pleitear indenização é de três anos, e ele começa a correr a partir da exposição ou da ciência do dano.

“A engenharia social evoluiu para um modelo de reconstrução informacional. Não se trata mais de enganar com pouco, mas de convencer com excesso de informação. Hoje, o cidadão precisa saber o que foi exposto, registrar esse fato e se proteger de forma documentada”, afirma Nicole Berto.

Segundo a entidade, a engenharia social já não depende apenas de abordagens genéricas ou contatos suspeitos isolados. Com acesso a fragmentos de informações vazadas, como CPF, endereço, dados patrimoniais e registros financeiros, os criminosos conseguem montar perfis detalhados das vítimas e simular comunicações legítimas de bancos, assessores ou empresas. Esse nível de personalização torna os golpes mais difíceis de identificar e eleva o potencial de dano.

A proposta da plataforma vazamentodedados.com é oferecer ao usuário um meio de registrar formalmente a exposição de seus dados. “Por meio da ferramenta, é possível gerar uma notificação documentada sobre eventual vazamento, criando um histórico que pode comprovar a adoção de medidas preventivas em tempo oportuno”, relata.

Além do caráter informativo, a ferramenta também funciona como instrumento de proteção jurídica. O documento gerado permite registrar a exposição de dados sensíveis, documentar a existência de vazamentos oriundos de diferentes fontes e demonstrar que o titular agiu para resguardar seus direitos.

“Sem notificação, o vazamento continua invisível do ponto de vista prático. A empresa não sofre pressão para responder, o prazo não começa a produzir efeito concreto e o cidadão perde a chance de construir prova de que tentou se proteger. Em um ambiente de dados expostos e interconectados, esse registro deixa de ser acessório e passa a ser essencial”, diz Nicole.

O Instituto recomenda que consumidores e investidores redobrem a cautela diante de contatos não solicitados, especialmente quando o interlocutor utiliza informações pessoais reais como forma de validação. Nesse contexto, a organização avalia que ferramentas de notificação e registro ganham importância como medida preventiva e também como instrumento de defesa patrimonial.

Fonte: Tecnoblog & Metropoles & Nicole Berto, executiva do Instituto Empresa.

Clique e fale com representante oficial segura