✓ verbatim da imprensa
O iFood confirmou nesta quarta-feira que 1,2 milhão de usuários — cerca de 2% de sua base — tiveram dados pessoais vazados em dezembro de 2025. A empresa disse que foram expostos apenas dados cadastrais como nome e CPF, sem comprometimento de senhas, meios de pagamento ou informações financeiras. ✓
Citações da imprensa (1)
"O aplicativo iFood informou, nesta quarta-feira (3), que foi registrado um vazamento de dados de usuários em dezembro de 2025 que afetou cerca de 2% de sua base, ou seja, cerca de 1,2 milhão de pessoas"
A empresa não comunicou o incidente à Autoridade Nacional de Proteção de Dados (ANPD) nem aos usuários afetados. Segundo o iFood, "a LGPD dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD". A ANPD confirmou que não recebeu comunicação formal, mas solicitou informações sobre o caso. ✓
Citações da imprensa (1)
"O iFood optou por não comunicar formalmente o vazamento à Autoridade Nacional de Proteção de Dados (ANPD) nem aos titulares afetados. A decisão se baseia na interpretação de que a Lei Geral de Proteção de Dados (LGPD) "dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD"."
A controvérsia se intensificou após um hacker no fórum Breach Forums afirmar ter roubado dados de 43,8 milhões de usuários do iFood, incluindo CPFs, nomes, e-mails, telefones e dados de cartões de crédito, exigindo pagamento até 10 de junho. O iFood negou que o vazamento tenha essa magnitude, reafirmando que apenas 1,2 milhão de usuários foram afetados com dados cadastrais básicos. ✓
Citações da imprensa (1)
"O site sobre cibersegurança Dark Web Informer, que monitora fóruns da dark web, relatou que na última semana um usuário do Breach Forums, comunidade de hackers, afirmou ter roubado dados de 43,8 milhões de usuários do iFood"
Segundo a ANPD, a Lei Geral de Proteção de Dados determina que controladores comuniquem incidentes de segurança à autoridade e aos titulares em até três dias úteis quando possam acarretar risco ou dano relevante. A avaliação deve considerar a natureza dos dados, o volume de pessoas impactadas e os potenciais efeitos do incidente. ✓
Citações da imprensa (1)
"Em nota, a ANPD confirmou que não recebeu comunicação de incidente de segurança envolvendo o iFood, mas que solicitou as informações necessárias, e disse que a LGPD (Lei Geral de Proteção de Dados) determina que o controlador dos dados comunique à ANPD e aos titulares dos dados pessoais, em até três dias úteis"
O vazamento ocorreu em dezembro de 2025 e afetou 1,2 milhão de usuários (2% da base do iFood)
Apenas dados cadastrais (nome e CPF) foram expostos, sem comprometimento de senhas, pagamentos ou dados financeiros
Um hacker no Breach Forums alegou ter dados de 43,8 milhões de usuários e exigiu pagamento até 10 de junho
Cobertos por apenas algumas fontes, ou onde os relatos divergem.
Pontos em disputa entre os atores (1)
As mesmas fontes relatam as duas versões — a contradição é entre os atores do caso, não entre os veículos.
Escopo dos dados vazados alegados pelo hacker versus confirmados pelo iFood
-
Qual foi o método técnico utilizado no ataque cibernético e se há evidências de uso malicioso dos dados vazados?
Por que ainda não se sabe: O iFood mencionou apenas que foi um 'ataque cibernético rapidamente contido', sem detalhar o vetor de acesso ou impacto posterior
-
Quando exatamente em dezembro de 2025 ocorreu o vazamento e quanto tempo levou para ser detectado e contido?
Por que ainda não se sabe: As fontes reportam apenas que foi 'em dezembro de 2025', sem precisar datas de início, detecção e contenção do incidente
-
Qual será a posição formal da ANPD após analisar as informações solicitadas ao iFood sobre o cumprimento das obrigações da LGPD?
Por que ainda não se sabe: A ANPD apenas confirmou que solicitou informações, mas ainda não emitiu posicionamento sobre a adequação da decisão do iFood de não reportar o incidente
-
Existe relação entre o vazamento de dezembro confirmado pelo iFood e a alegação do hacker no Breach Forums sobre 43,8 milhões de usuários?
Por que ainda não se sabe: Não está claro se são incidentes distintos ou se o hacker está exagerando o escopo do mesmo vazamento de dezembro