Empresa contesta volume de 43 milhões, mas confirma exposição de nomes e CPFs originada em brecha interna de dezembro de 2025. Instituto SIGILO cobra transparência e rigor regulatório.
O iFood, maior plataforma de delivery de refeições do país, confirmou oficialmente nesta quarta-feira (3 de junho de 2026) a ocorrência de um expressivo vazamento de dados pessoais afetando cerca de 1,2 milhão de titulares de dados da sua base de clientes. O volume equivale a aproximadamente 2% do total de contas ativas do aplicativo. Embora a empresa conteste as alegações iniciais que circulavam em fóruns cibernéticos apontando a exposição de 43 milhões de dados pessoais, o incidente expõe sérias fragilidades e coloca em risco a privacidade de uma fatia volumosa de cidadãos brasileiros.
A Origem da Brecha e os Dados Expostos
De acordo com as investigações e o posicionamento oficial da companhia, as informações que passaram a circular publicamente na internet têm origem em um incidente de segurança cibernética ocorrido em dezembro de 2025. O vazamento teria se dado a partir de uma vulnerabilidade no Sistema iFood de Resposta às Autoridades (SIRA) — uma infraestrutura desenvolvida especificamente para atender a requisições judiciais, administrativas e governamentais.
Relatórios técnicos indicam que criminosos conseguiram explorar o sistema para extrair dados de forma gradual ao longo de meses, o que dificultou a detecção imediata pelos mecanismos ordinários de monitoramento. Os dados expostos incluem informações sensíveis do escopo de identificação civil:
Nome Completo & CPF
Confirmado
Golpes de engenharia social, falsidade ideológica e abertura ilícita de contas.
Histórico de Endereços
Confirmado
Violação extrema de privacidade domiciliar e mapeamento de rotinas.
Senhas de Acesso
Aparentemente preservado
Sem alteração imediata de credenciais exigida, segundo a empresa.
Dados Financeiros & Cartões
Aparentemente preservado
Meios de pagamento não foram afetados diretamente no lote.
Apesar de a empresa assegurar que credenciais de acesso bancário, cartões de crédito e senhas não foram violados, a exposição conjunta do nome, CPF e histórico de endereços fornece um prato cheio para agentes maliciosos. Com esse pacote informacional, golpes de engenharia social focados e fraudes financeiras paralelas tornam-se consideravelmente mais fáceis de serem executados.
"Mesmo que dados de pagamento estejam preservados, o vazamento de um histórico residencial atrelado ao CPF quebra a expectativa de segurança elementar do consumidor. Criminosos podem ligar ou enviar mensagens fingindo ser do suporte do iFood, confirmando endereços antigos ou recentes para ganhar a confiança do usuário e obter o que resta de dados bancários."
A Divergência dos Números e o Princípio da Transparência
O caso ganhou tração pública após um usuário anunciar em fóruns especializados a comercialização de uma base contendo supostos 43,8 milhões de dados pessoais atribuídos ao iFood. A empresa apressou-se em emitir notas públicas rebatendo a magnitude, alegando que “após sucessivas análises, identificamos que o material se refere a um incidente isolado de dezembro de 2025” e que não há evidências que sustentem a marca de 43 milhões.
Para o Instituto SIGILO, o foco na minimização do percentual (os “apenas 2%”) mascara a gravidade absoluta do número real: 1,2 milhão de indivíduos vulnerabilizados representam uma população superior à de várias capitais estaduais brasileiras. A Lei Geral de Proteção de Dados (LGPD) estabelece que a gravidade não se mede exclusivamente pela proporcionalidade interna da base da empresa, mas sim pelo risco individual gerado aos titulares afetados.
O Instituto SIGILO, cumprindo seu papel de guardião dos direitos dos titulares de dados no Brasil, informa que está acompanhando os desdobramentos técnicos e notificará formalmente a Agência Nacional de Proteção de Dados (ANPD) para exigir a apuração integral das responsabilidades corporativas. O Instituto SIGILO avaliará as medidas judiciais cabíveis, incluindo a propositura de Ação Civil Pública para reparação por danos morais coletivos e individuais decorrentes de falhas de segurança no ecossistema do iFood, caso reste demonstrada a negligência na proteção preventiva dos sistemas integrados de resposta.
O Instituto SIGILO, cumprindo seu papel de guardião dos direitos dos titulares de dados no Brasil, informa que está acompanhando os desdobramentos técnicos e notificará formalmente a Agência Nacional de Proteção de Dados (ANPD) para exigir a apuração integral das responsabilidades corporativas. O Instituto SIGILO avaliará as medidas judiciais cabíveis, incluindo a propositura de Ação Civil Pública para reparação por danos morais coletivos e individuais decorrentes de falhas de segurança no ecossistema do iFood, caso reste demonstrada a negligência na proteção preventiva dos sistemas integrados de resposta.
Orientações Críticas aos Usuários da Plataforma
Diante da confirmação do vazamento, o Instituto SIGILO reforça a urgência de os consumidores adotarem uma postura preventiva. O iFood declarou que lamenta o ocorrido e que todas as comunicações institucionais legítimas são feitas restritamente pelos canais oficiais integrados do aplicativo. Desconfie imediatamente de:
- Mensagens via WhatsApp ou SMS solicitando confirmação de dados para “liberação de cupons” ou “recadastramento de segurança”.
- Ligações telefônicas de supostos atendentes confirmando seu CPF e endereços residenciais passados.
- E-mails com links externos que exijam a reinserção de senhas ou dados de cartões sob pena de cancelamento da conta.
A segurança digital baseia-se na desconfiança ativa. O Instituto SIGILO continuará exigindo auditorias independentes sobre o caso para garantir que o direito à privacidade e à autodeterminação informativa dos cidadãos não seja tratado como um custo secundário de operação de grandes plataformas tecnológicas.
