iFood đã chính thức thừa nhận một vụ rò rỉ dữ liệu lớn làm lộ thông tin của 1,2 triệu người dùng, theo thông báo phát đi hôm thứ Tư, ngày 3 tháng 6 năm 2026. Sự cố bảo mật này xảy ra vào tháng 12 năm 2025, nhưng mãi đến hơn nửa năm sau, công ty mới công khai xác nhận. Đại diện hãng mô tả đây là một sự cố bị cô lập và đã nhanh chóng được kiểm soát nhờ các giao thức an ninh nội bộ. Theo iFood, phạm vi ảnh hưởng chỉ giới hạn ở khoảng 2% tổng số khách hàng của nền tảng giao đồ ăn này.
Chi Tiết Vụ Rò Rỉ Dữ Liệu
Những dữ liệu bị lộ bao gồm họ tên đầy đủ và số CPF (mã số thuế cá nhân) của người dùng bị ảnh hưởng – vốn là thông tin rất nhạy cảm ở Brazil. Tuy nhiên, iFood khẳng định không có bất kỳ thông tin về phương thức thanh toán, dữ liệu tài chính hay tài khoản ngân hàng nào bị xâm phạm. Công ty cũng nhấn mạnh rằng các tài khoản của người dùng vẫn an toàn vì mật khẩu không bị lộ. Hãng cho biết chưa có bằng chứng nào cho thấy các giao dịch trên nền tảng đã bị truy cập trái phép.
Phản Ứng Của iFood và Căn Cứ Pháp Lý
Trong thông cáo chính thức, iFood tuyên bố đã xử lý vụ việc tuân thủ nghiêm ngặt Lei Geral de Proteção de Dados (LGPD), luật bảo vệ dữ liệu của Brazil. Quyết định không gửi thông báo trực tiếp cho người dùng dựa trên đánh giá rằng sự cố không gây rủi ro hoặc thiệt hại đáng kể. Công ty viện dẫn các tiêu chí quy định của Autoridade Nacional de Proteção de Dados (ANPD) để biện minh cho cách hành xử này. iFood cũng khẳng định trường hợp này đã được đánh giá và xử lý theo đúng pháp luật hiện hành.
Cảnh Báo Từ Chuyên Gia Bảo Mật
Giới chuyên gia an ninh mạng cảnh báo rằng việc lộ tên và CPF có thể mở đường cho các cuộc tấn công lừa đảo qua kỹ thuật xã hội (social engineering). Dù mật khẩu và dữ liệu tài chính không bị ảnh hưởng, nhưng số CPF vốn là thông tin nhạy cảm có thể bị lợi dụng để mạo danh hoặc thực hiện các giao dịch gian lận. iFood vẫn giữ nguyên quan điểm rằng không có thiệt hại đáng kể nào xảy ra đối với người dùng. Quyết định không thông báo của hãng có thể làm dấy lên cuộc tranh luận về cách các doanh nghiệp diễn giải tiêu chí rủi ro theo luật LGPD.
Trách Nhiệm Của Doanh Nghiệp Trong Bối Cảnh LGPD
Công ty cũng hướng dẫn khách hàng cảnh giác với những tin nhắn không chính thức có thể được tung ra liên quan đến vụ việc. iFood nhấn mạnh mọi thông báo hợp lệ sẽ chỉ được gửi qua các kênh chính thức của hãng. Tuy nhiên, công ty không tiết lộ liệu họ có thông báo riêng cho 1,2 triệu người dùng bị ảnh hưởng hay không. Cho đến nay, iFood chưa cung cấp thông tin về nguồn gốc vụ rò rỉ hay danh tính những kẻ đứng sau cuộc tấn công.
Hãng cũng không nói rõ liệu sự cố đã được báo cáo lên ANPD hoặc các cơ quan chức năng khác hay chưa. iFood khẳng định trường hợp này đã được xử lý theo đúng quy định, nhưng sự thiếu minh bạch về quy trình thông báo khiến nhiều người lo ngại. Với 1,2 triệu người dùng có dữ liệu bị lộ, việc không được thông báo trực tiếp đồng nghĩa với việc họ không thể chủ động phòng tránh các rủi ro tiềm ẩn. Các chuyên gia cho rằng, ngay cả khi không có thiệt hại tài chính ngay lập tức, sự việc này vẫn đặt ra câu hỏi lớn về trách nhiệm giải trình của các nền tảng số đối với dữ liệu khách hàng.