iFood secara resmi mengakui kebocoran data yang memaparkan informasi pribadi 1,2 juta penggunanya. Insiden tersebut terjadi pada Desember 2025, dan baru diumumkan melalui pernyataan resmi pada Rabu, 3 Juni 2026. Menurut perusahaan, kebocoran ini bersifat terisolasi dan segera diatasi oleh protokol keamanan internal. iFood menegaskan bahwa dampak masalah hanya mencakup sekitar 2 persen dari total basis pelanggannya.
Paparan Data: Nama Lengkap dan CPF Jadi Sasaran
Perusahaan mengonfirmasi bahwa data yang terekspos meliputi nama lengkap dan Nomor Cadastro de Pessoas Físicas (CPF) pengguna yang terdampak. Namun, iFood memastikan bahwa tidak ada kredensial akses akun seperti kata sandi yang ikut bocor. Data metode pembayaran, catatan keuangan, dan informasi perbankan juga tidak terpengaruh oleh insiden ini. Perusahaan menegaskan bahwa tidak ada bukti transaksi di platform diakses secara tidak sah.
Risiko Keamanan di Balik Informasi yang Tersingkap
Meskipun sandi dan data finansial aman, para ahli keamanan siber memperingatkan bahwa paparan nama dan CPF dapat membuka celah bagi serangan rekayasa sosial. CPF merupakan informasi sensitif yang sering digunakan dalam berbagai verifikasi identitas di Brasil. iFood, di sisi lain, bersikukuh bahwa insiden ini tidak menimbulkan kerugian signifikan bagi para pengguna. Keputusan untuk tidak melakukan komunikasi formal didasarkan pada penilaian risiko internal perusahaan.
Respons Perusahaan: Diam Atas Nama Kepatuhan Regulasi
iFood menyatakan bahwa penanganan insiden ini telah sesuai dengan Lei Geral de Proteção de Dados (LGPD) Brasil. Perusahaan merujuk pada kriteria peraturan yang ditetapkan oleh Autoridade Nacional de Proteção de Dados (ANPD) untuk membenarkan posisinya. iFood menilai bahwa karena insiden tersebut tidak menimbulkan risiko atau kerusakan relevan, maka tidak ada kewajiban untuk melaporkan atau memberi tahu para pengguna. Dalam pernyataan resminya, perusahaan tidak merinci apakah kebocoran ini telah dilaporkan ke ANPD atau otoritas lainnya.
Kanal Resmi vs. Ancaman Penipuan
Perusahaan juga mengimbau pelanggan untuk mewaspadai pesan tidak resmi yang mungkin beredar terkait insiden ini. iFood menekankan bahwa setiap komunikasi yang sah hanya akan datang melalui kanal-kanal resmi perusahaan. Namun, tidak ada informasi apakah 1,2 juta pengguna yang terdampak akan diberitahu secara individual. Hingga berita ini ditulis, asal mula kebocoran atau pihak yang bertanggung jawab atas serangan tersebut belum diungkapkan.
Dampak dan Perdebatan Seputar LGPD
Keputusan iFood untuk tidak mengomunikasikan kebocoran langsung kepada pelanggan memicu perdebatan mengenai interpretasi risiko dalam kerangka LGPD. Para pengamat menilai bahwa eksposur CPF dan nama adalah data sensitif yang bisa dieksploitasi untuk penipuan, meski tanpa akses ke kata sandi. Bagi konsumen, insiden ini mengingatkan bahwa data pribadi tetap rentan bahkan di platform besar. Publik pun mulai mempertanyakan transparansi perusahaan dalam menangani keamanan data pengguna.