iFood confirmou um vazamento de dados de 1,2 milhão de usuários, ocorrido em dezembro de 2025, o que representa cerca de 2% de sua base. Segundo a empresa, apenas dados cadustrais foram expostos — nomes e CPF — e não houve comprometimento de senhas, meios de pagamento ou registros financeiros. O incidente foi rapidamente contido pelos protocolos de segurança da empresa.
A companhia informou que não comunicou o ocorrido à ANPD, alegando que não havia risco relevante para os titulares. A ANPD confirmou que não recebeu a comunicação do iFood, mas pediu as informações necessárias e disse que, conforme a LGPD, o controlador deve comunicar à autoridade e aos titulares em até três dias úteis quando houver risco ou dano.
O órgão acrescenta que a avaliação de risco deve considerar a natureza dos dados afetados, o número de titulares atingidos e os potenciais efeitos do incidente. Mesmo com dúvidas sobre a extensão, a autoridade ressalta que o controlador precisa tomar medidas preventivas adequadas.
Relatos de terceiros circularam na imprensa digital: o site Dark Web Informer afirmou ter identificado um vazamento de até 43,8 milhões de usuários, incluindo CPFs, nomes, e-mails, telefones e dados de cartões de crédito, com cobrança para contato até 10 de junho. A iFood negou essa dimensão, mantendo que foram atingidos apenas 1,2 milhão de usuários e que apenas dados cadastrais teriam sido expostos.
A empresa ressalta que o vazamento foi isolado e rapidamente neutralizado pelos seus protocolos de segurança. A ANPD continua avaliando o caso e pode exigir esclarecimentos adicionais para assegurar que os titulares recebam informações e proteção adequadas, conforme a LGPD.
Como você avalia a resposta da iFood a incidentes de segurança em grandes plataformas? Compartilhe sua opinião nos comentários e conte como você se protege ao usar serviços digitais.