A iFood, uma das maiores plataformas de delivery do Brasil, confirmou nesta quarta-feira (3) um incidente de segurança que resultou na exposição de dados de usuários, embora tenha contestado a magnitude do vazamento divulgada por veículos de comunicação. A empresa informou que as informações circulantes sobre a exposição de 43 milhões de pessoas não correspondem à realidade, apontando para um incidente isolado registrado em dezembro de 2025, que teria sido rapidamente contido.
O que foi confirmado pela empresa
Em nota oficial enviada ao g1, a iFood esclareceu que não encontrou evidências de um vazamento na escala de 43 milhões de registros. Segundo a companhia, o material disponibilizado na internet refere-se a um evento específico ocorrido no último ano, neutralizado pelos protocolos de segurança internos. O alcance real do incidente ficou restrito a cerca de 2% da base de clientes da plataforma.
Tipos de dados expostos e riscos
A empresa confirmou que informações cadastrais, como nome e CPF de usuários, foram expostas no incidente. No entanto, a iFood reforçou que não houve comprometimento de credenciais de acesso às contas. Isso significa que senhas, meios de pagamento e registros financeiros não foram afetados. A ausência de dados bancários ou transacionais reduz significativamente o risco de fraude financeira direta, embora a exposição de CPF e nome aumente a superfície de ataque para golpes de engenharia social e phishing direcionado.
Implicações regulatórias e LGPD
O incidente coloca a iFood sob a ótica da Lei Geral de Proteção de Dados (LGPD). A empresa afirmou em sua nota que continua adotando medidas de proteção e atua em conformidade com a legislação brasileira. Para os profissionais de segurança da informação, o caso destaca a importância de notificações ágeis e transparentes à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados. A confirmação de um vazamento, mesmo que parcial, exige uma resposta coordenada de governança de dados, incluindo a avaliação de impacto à proteção de dados (AIPD) e a implementação de medidas mitigatórias para os usuários afetados.
Recomendações para usuários e CISOs
Diante da confirmação da exposição de CPF e nomes, recomenda-se que os usuários afetados monitorem suas contas bancárias e de crédito, além de estarem atentos a tentativas de phishing que utilizem esses dados como isca. Para os CISOs e equipes de segurança, o caso reforça a necessidade de auditorias contínuas de acesso a dados sensíveis e a implementação de controles de detecção de anomalias em tempo real. A segmentação de dados e a criptografia de informações sensíveis em repouso devem ser revisadas para garantir que, em caso de violação, o impacto seja minimizado.
O que fazer agora
A iFood reforçou que todas as comunicações oficiais são feitas apenas pelos canais da plataforma. Usuários devem desconfiar de mensagens não solicitadas que aleguem problemas na conta. A empresa mantém o foco na segurança da comunidade e promete aprimorar constantemente seus sistemas em conformidade com a LGPD. O incidente serve como um lembrete de que mesmo grandes players de tecnologia enfrentam desafios de segurança e que a transparência na comunicação é crucial para manter a confiança do mercado.