Ein Datenleck beim brasilianischen Lieferdienst iFood hat die persönlichen Informationen von rund 1,2 Millionen Nutzern offengelegt. Der Vorfall ereignete sich bereits im Dezember 2025, wurde jedoch erst jetzt, am 3. Juni 2026, durch eine offizielle Stellungnahme des Unternehmens bestätigt. Das Unternehmen bezeichnet den Vorfall als isoliert und rasch durch seine Sicherheitsprotokolle eingedämmt. Betroffen ist etwa zwei Prozent der gesamten Kundenbasis.
Details des Sicherheitsvorfalls
Nach Angaben des Unternehmens umfassen die offengelegten Daten die vollständigen Namen und die CPF-Nummern der betroffenen Nutzer. Die CPF ist das brasilianische Äquivalent zur Steueridentifikationsnummer und gilt als besonders sensibel. iFood versichert jedoch, dass keine Zugangsdaten wie Passwörter kompromittiert wurden. Auch Zahlungsinformationen, Finanzaufzeichnungen und Bankdaten seien nicht von dem Leck betroffen. Die Plattform betont, es gebe keine Hinweise, dass Transaktionen unbefugt eingesehen wurden.
Keine Gefahr für Zahlungsdaten
Der Lieferdienst stellt klar, dass die Sicherheit der Konten und Zahlungsvorgänge nicht gefährdet sei. Dennoch warnen Experten, dass die Kombination aus Namen und CPF eine ideale Grundlage für gezielte Betrugsversuche biete. Die bloße Existenz dieser Daten ermögliche es Angreifern, vertrauenswürdige Nachrichten zu verfassen und ahnungslose Opfer in Fallen zu locken. iFood selbst hält an seiner Einschätzung fest, dass kein relevanter Schaden entstanden sei.
Rechtliche Einordnung und Kommunikationsstrategie
In seiner offiziellen Mitteilung beruft sich das Unternehmen auf die brasilianische Datenschutzgrundverordnung (LGPD). iFood erklärt, der Vorfall sei streng nach den gesetzlichen Vorgaben behandelt worden. Die Entscheidung, die betroffenen Kunden nicht zu informieren, basiere auf der Bewertung, dass das Leck kein relevantes Risiko oder Schaden für die Nutzer darstelle. Dabei verweist die Firma auf Kriterien der nationalen Datenschutzbehörde ANPD, die eine Meldepflicht nur bei erheblichem Risiko vorsieht.
Die Rolle der Datenschutzbehörde
Die offizielle Stellungnahme des Unternehmens enthält keine Angaben dazu, ob der Vorfall der ANPD oder anderen Behörden gemeldet wurde. iFood bekräftigt lediglich, dass sämtliche Kommunikation ausschließlich über offizielle Kanäle erfolge. Betroffene Kunden werden angehalten, nicht von der Plattform stammende Nachrichten zu ignorieren. Ob die 1,2 Millionen Nutzer individuell benachrichtigt werden, ließ die Firma offen.
Unterdessen warnen Cybersicherheitsexperten vor weitreichenden Folgen. Die Offenlegung von Namen und CPFs könne sozialtechnische Angriffe erleichtern, auch wenn Passwörter und Finanzdaten nicht betroffen seien. Die Haltung des Unternehmens, wonach kein relevanter Schaden vorliege, wird damit infrage gestellt. Der Fall dürfte die Debatte darüber neu entfachen, nach welchen Maßstäben Unternehmen Risiken unter der LGPD bewerten dürfen.