Компания iFood официально признала утечку данных, затронувшую 1,2 миллиона пользователей — инцидент, произошедший в декабре 2025 года, был раскрыт лишь 3 июня 2026 года в официальном заявлении. По словам представителей сервиса доставки, утечка затронула примерно 2% всей клиентской базы, а само происшествие было квалифицировано как изолированное и оперативно локализованное. При этом компания подчеркнула, что никаких свидетельств несанкционированного доступа к платежным операциям или банковским данным обнаружено не было. Однако решение не уведомлять пострадавших пользователей уже вызвало вопросы со стороны экспертов и правозащитников.
Масштаб и характер утечки
В ходе расследования выяснилось, что злоумышленники получили доступ к полным именам и CPF — бразильским идентификационным номерам налогоплательщиков. При этом компания уверяет, что пароли от учетных записей, платежные реквизиты и финансовая информация остались в безопасности. iFood подчеркивает, что утечка не затронула никакие транзакции, проведенные через платформу. Тем не менее, CPF является крайне чувствительной информацией, которая может быть использована для мошеннических схем — напоминают специалисты по кибербезопасности.
Позиция компании и нормативная база
В своем официальном заявлении iFood указал, что все действия выполнялись в строгом соответствии с бразильским Законом о защите персональных данных (LGPD). Решение не уведомлять пользователей, по словам представителей, основывалось на оценке, что инцидент не несет существенного риска или вреда для пострадавших. Компания сослалась на критерии, установленные Национальным органом по защите данных (ANPD), которые допускают отказ от оповещения в подобных случаях. При этом в заявлении не уточняется, было ли само происшествие сообщено в ANPD или другим регулирующим органам.
Реакция экспертного сообщества
Специалисты в области цифровой безопасности выражают обеспокоенность: даже без доступа к паролям и финансам, утечка имен и CPF открывает широкие возможности для атак социальной инженерии. Бразильский CPF — это ключ ко многим государственным и частным сервисам, и его компрометация может привести к созданию поддельных кредитных заявок, регистрации фиктивных компаний или другим видам мошенничества. iFood, со своей стороны, настаивает на том, что угроза для пользователей минимальна, однако эксперты призывают не недооценивать потенциал комбинирования этих данных с информацией из других утечек.
Коммуникационная стратегия и риски
Представители iFood также предупредили клиентов о необходимости быть бдительными в отношении любых неофициальных сообщений, которые могут распространяться в связи с инцидентом. Компания подчеркнула, что все легитимные коммуникации будут осуществляться исключительно через ее официальные каналы. При этом сервис не сообщил, планируется ли индивидуальное уведомление каждого из 1,2 миллиона затронутых пользователей. Отсутствие официальной обратной связи может затруднить своевременное реагирование тех, чьи данные оказались скомпрометированы.
Сложившаяся ситуация способна породить новую волну дискуссий о критериях оценки риска при утечках данных. Действующее законодательство LGPD оставляет значительную свободу интерпретации: каждая компания сама решает, представляет ли инцидент «реальный ущерб» для пользователей. В случае с iFood утечка CPF и имен была сочтена недостаточно опасной для обязательного уведомления, но многие правозащитники и аналитики считают такую позицию неоправданно мягкой. Подобные прецеденты могут ослабить доверие потребителей к цифровым платформам, особенно в сфере доставки и финансовых услуг.
В отсутствие официального расследования о происхождении атаки или личностях злоумышленников, iFood продолжает настаивать на том, что инцидент был локализован и не повлияет на работу сервиса. Однако эксперты рекомендуют всем затронутым пользователям внимательно отслеживать подозрительную активность, связанную с их CPF, и при малейших признаках мошенничества обращаться в соответствующие органы. Пока что компания не предоставила ни плана компенсации, ни конкретных шагов по усилению защиты данных.