食品配送平台iFood正式承认了一起数据泄露事件,该事件发生于2025年12月,涉及约120万名用户的个人信息。公司在2026年6月3日发布的官方声明中表示,此次事件已被其安全协议“迅速控制”,且影响范围仅限于其客户总数的约2%。尽管暴露的信息包括完整的姓名以及巴西个人税号(CPF),但公司坚称账户密码、支付方式、财务记录及银行资料均未遭泄露。
泄露范围与公司安全保障措施
根据iFood的说明,受影响的用户信息中并未包含登录凭证或敏感金融数据,因此不存在账户被非法访问的证据。该公司强调,事件发生后已立即采取保护措施,并严格遵循巴西《通用数据保护法》(LGPD)的相关要求。不过,企业并未在声明中透露是否已将此次泄露通报给国家数据保护局(ANPD)或其他监管机构。
专家对潜在风险的评估
尽管iFood认为此次事件未造成实质性损害,但网络安全专家指出,姓名与CPF的组合足以成为社会工程攻击的“原材料”。即便没有密码,这些敏感信息也可能被不法分子用于伪造身份或实施精准诈骗。专家补充说,CPF作为巴西居民的核心身份标识,其泄露本身就是一个值得警惕的信号,而非无关紧要。
基于LGPD的不通知决策引发争议
iFood解释称,其决定不向用户逐一通报此次泄露,是基于对事件风险评估的结果。公司援引了ANPD制定的监管标准,指出当事件不构成“风险或重大损害”时,法律允许企业豁免报告义务。该公司声明中重申,所有正式沟通均通过官方渠道进行,并提醒用户警惕任何非官方的消息。
用户应警惕非官方通信
在事件公开后,iFood特别警告用户,任何声称来自该平台的、涉及数据泄露的未知信息都应被视为可疑。公司强调,唯有其官网、应用及官方社交媒体账号发布的内容才具有真实性。然而,公司并未明确表示是否会向这120万名受影响者单独发送通知,也未透露泄露源头或背后的攻击者信息。
关于此次不通知决定,外界观点存在分歧。安全专家提醒,CPF的暴露可能被用于诈骗活动,因此企业自行判定“无重大损害”的做法值得商榷。这一事件或促使业界重新审视LGPD框架下关于“风险”的界定标准,以及企业在数据保护中的自我裁判机制。