The Premise News
Tecnologia

Vazamento de dados do iFood atinge 1,2 milhão de usuários; empresa não comunicou clientes

Victória dos Santos de Sá
Vazamento de dados do iFood atinge 1,2 milhão de usuários; empresa não comunicou clientes Direitos autorais: Rafael Henrique | Dreamstime.com

O iFood reconheceu oficialmente um vazamento de dados que expôs informações de 1,2 milhão de seus usuários. O incidente, ocorrido em dezembro de 2025, foi classificado pela empresa como isolado e rapidamente contido por seus protocolos de segurança. De acordo com a companhia, o alcance do problema ficou restrito a aproximadamente 2% de sua base total de clientes. A revelação foi feita na última quarta-feira, 3 de junho de 2026, por meio de nota oficial.

Detalhes do incidente de segurança

Segundo a empresa, as informações expostas incluem nomes completos e CPFs dos usuários afetados. Contudo, a companhia assegura que não houve comprometimento de credenciais de acesso às contas, como senhas. Dados de meios de pagamento, registros financeiros e informações bancárias também não foram atingidos pelo vazamento. A empresa afirma que não há evidências de que transações realizadas na plataforma tenham sido acessadas de forma indevida.

Medidas de proteção adotadas

Em comunicado, o iFood afirmou que segue adotando medidas de proteção em conformidade com a Lei Geral de Proteção de Dados (LGPD). A empresa destacou que o caso foi tratado de acordo com a legislação vigente. A decisão de não realizar uma comunicação formal aos usuários baseou-se na avaliação de que o incidente não representava risco ou dano relevante. A companhia mencionou critérios regulatórios definidos pela Autoridade Nacional de Proteção de Dados (ANPD) para justificar essa postura.

Resposta da empresa e a legislação

O iFood afirmou que o incidente foi tratado e avaliado em estrita conformidade com a legislação, que dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares. A empresa acrescentou que reforça aos usuários que todas as comunicações são feitas exclusivamente por seus canais oficiais. A nota oficial não detalhou se o vazamento foi comunicado à ANPD ou a outras autoridades.

Canais de comunicação oficiais

A companhia também orientou os clientes a desconfiar de mensagens não oficiais que possam circular sobre o incidente. O iFood ressaltou que qualquer comunicação legítima virá apenas de seus canais oficiais. A empresa não informou se irá notificar individualmente os 1,2 milhão de usuários afetados. Até o momento, não há informação sobre a origem do vazamento ou sobre os responsáveis pelo ataque.

Para especialistas em segurança digital, a exposição de nomes e CPFs pode abrir portas para golpes de engenharia social. Embora senhas e dados financeiros não tenham vazado, o CPF é uma informação sensível. O iFood, no entanto, mantém a posição de que não houve dano relevante aos usuários. A decisão de não comunicar pode gerar debate sobre os critérios de risco adotados pelas empresas sob a LGPD.

Nossa análise — The Premise News: Este vazamento expõe uma fragilidade na forma como as empresas interpretam a LGPD. O iFood optou por não informar os clientes, alegando ausência de risco relevante, mas a exposição de CPFs e nomes é, por si só, um dado sensível que pode ser usado em fraudes. O que está em jogo é a confiança dos consumidores em plataformas digitais e a eficácia da autorregulação. A tensão entre a transparência devida e o cumprimento técnico da lei revela um vácuo na proteção prática dos dados. Os usuários devem ficar atentos a tentativas de contato suspeitas nos próximos dias, especialmente aquelas que usarem nome e CPF como isca. A ausência de comunicação formal pode dificultar a reação de quem teve seus dados expostos. No fim, o caso serve como lembrete de que, mesmo sem danos financeiros imediatos, a privacidade é um ativo que exige maior responsabilidade por parte das empresas.

O que você achou?