O iFood reconheceu oficialmente um vazamento de dados que expôs informações pessoais de 1,2 milhões de utilizadores. O incidente, ocorrido em dezembro de 2025, teria sido rapidamente contido, mas a empresa não comunicou os afetados. A revelação só chegou ao público na última quarta-feira, 3 de junho de 2026, através de uma nota oficial. Este é o retrato de uma falha de segurança que levanta questões sobre transparência e proteção de dados no Brasil.
Informações expostas e limites do incidente
De acordo com a empresa, os dados vazados incluem nomes completos e CPFs dos utilizadores abrangidos. Contudo, a companhia assegura que credenciais de acesso, como senhas, não foram comprometidas. Dados de meios de pagamento, registos financeiros e informações bancárias também permaneceram intactos. A empresa afirma que não há indícios de que transações realizadas na plataforma tenham sido acedidas de forma indevida. Este conjunto de garantias sustenta a posição da empresa de que o incidente não representa um risco elevado.
Medidas invocadas ao abrigo da LGPD
Em comunicado, o iFood afirmou que seguiu as medidas de proteção em conformidade com a Lei Geral de Proteção de Dados (LGPD). A empresa destacou que o caso foi tratado de acordo com a legislação vigente, que dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares. A decisão de não realizar uma comunicação formal aos utilizadores baseou-se nesta avaliação regulatória, citando critérios definidos pela Autoridade Nacional de Proteção de Dados (ANPD). A nota oficial não detalhou, porém, se o vazamento foi comunicado à ANPD ou a outras autoridades.
Riscos apontados por especialistas e a resposta da empresa
Para especialistas em segurança digital, a exposição de nomes e CPFs pode abrir portas para golpes de engenharia social. Embora senhas e dados financeiros não tenham vazado, o CPF é uma informação sensível e frequentemente utilizada como base para fraudes. O iFood, no entanto, mantém a posição de que não houve dano relevante para os utilizadores. A empresa reforçou que todas as comunicações legítimas são feitas exclusivamente pelos seus canais oficiais, orientando os clientes a desconfiar de mensagens não oficiais que possam circular sobre o incidente. Esta postura pode gerar debate sobre os critérios de risco adotados pelas empresas sob a LGPD.
Origens do ataque e transparência em falta
A empresa não informou a origem do vazamento nem os responsáveis pelo ataque. A nota oficial não indicou se os 1,2 milhões de utilizadores afetados serão notificados individualmente. Até ao momento, não há detalhes sobre como a falha ocorreu ou se houve comunicação às autoridades. Esta falta de transparência contrasta com a gravidade da exposição de dados pessoais e pode minar a confiança dos consumidores na plataforma.
O caso expõe uma fragilidade na forma como as empresas interpretam a LGPD. A decisão do iFood de não comunicar os utilizadores baseia-se na ausência de risco relevante, mas a exposição de CPFs e nomes por si só constitui um dado sensível e passível de uso indevido. O silêncio da empresa deixa os afetados sem informação para se protegerem de potenciais fraudes. O debate sobre os limites da autorregulação e a eficácia da proteção prática dos dados ganha novo fôlego com este incidente.