O iFood confirmou, nesta terça-feira (3), um vazamento de dados que expôs nomes e CPFs de cerca de 1,2 milhão de usuários da plataforma. O incidente ocorreu em dezembro de 2025, mas só veio a público após criminosos divulgarem amostras em fóruns da dark web com a alegação de possuírem dados de 43,8 milhões de clientes. A empresa nega o número maior e classifica o caso como “incidente isolado”.

Resumo

  • O quê: Vazamento de dados cadastrais (nome e CPF) de 1,2 milhão de usuários do iFood
  • Quando: Incidente original em dezembro de 2025; confirmação pública em 3 de junho de 2026
  • Vector: Vulnerabilidade IDOR no portal SIRA, explorada via credenciais policiais comprometidas
  • Parecer do iFood: Caso “isolado”, contido rapidamente, sem exposição de senhas ou dados financeiros
  • ANPD: Autoridade notificou o iFood para prestar esclarecimentos
  • Prazo de extorsão: Criminosos fixaram 10 de junho de 2026 para negociação

Como o caso veio à tona

Na última quinta-feira (28 de maio), um utilizador identificado como “bacen” publicou no BreachForums — fórum da dark web especializado na compra e venda de dados roubados — que possuía informações de 43,84 milhões de clientes brasileiros do iFood, incluindo CPF, nomes, e-mails, telefones e dados de cartões de crédito. O TecMundo analisou as amostras divulgadas e constatou que continham dados pessoais legítimos, mas não conseguiu comprovar a ligação direta com o iFood nem a dimensão real do vazamento.

Na sexta-feira (29), um segundo criminoso, que se identificou como “Harold Baker”, contactou o TecMundo com novas amostras exclusivas. Três ficheiros foram enviados à reportagem e compartilhados com o iFood para verificação. Após análise interna, a empresa confirmou a autenticidade dos dados e atribuiu o material a um incidente de dezembro de 2025.

O que diz o iFood

Em nota oficial enviada à imprensa, o iFood declarou:

“O iFood não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados. Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança.”

“O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da nossa base de usuários.”

“O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma. A segurança da nossa comunidade é prioridade e seguimos atuando em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD) para aprimorar constantemente nossos sistemas.”

A empresa afirmou ainda que não comunicou o incidente aos utilizadores nem à Autoridade Nacional de Proteção de Dados (ANPD) porque avaliou que o evento “não acarreta risco ou dano relevante aos titulares”, de acordo com os critérios regulatórios da ANPD.

A vulnerabilidade explorada

Segundo investigação do TecMundo, os criminosos exploraram uma falha do tipo IDOR (Insecure Direct Object Reference) no SIRA (Sistema iFood de Resposta às Autoridades) — o portal interno que o iFood utiliza para responder a requisições judiciais, administrativas e de vigilância sanitária.

A vulnerabilidade permitiu que um agente mal-intencionado, utilizando credenciais de contas policiais comprometidas, acedesse registos de utilizadores sem que o sistema verificasse adequadamente as permissões antes de entregar a resposta. Simplificando: quando um utilizador fazia uma solicitação a uma parte do sistema, este não confirmava as credenciais antes de devolver os dados.

O acesso foi feito de forma gradual durante aproximadamente três meses para evitar o acionamento de alertas de segurança. As amostras analisadas incluem:

  • admin.txt: 35 registos com dados de funcionários do iFood e contratados terceiros (domínios @ifood.com.br e @ifood3rd.com)
  • response.json: Cerca de 24 mil registos de contas vinculadas a órgãos públicos — Polícia Federal, Polícias Civis, Ministério Público, Tribunais e Defensorias
  • sample.txt: 4 “dossiês” detalhados com PII completo, histórico de endereços de entrega e números parciais de cartões de crédito

Divergência sobre os números

Há um claro desacordo entre o iFood e os criminosos sobre a dimensão real do vazamento. O iFood sustenta que apenas 1,2 milhão de utilizadores foram afetados (2% da base). Harold Baker afirma que o incidente confirmado é diferente do que a empresa reconhece e diz ter ficheiros com dados de mais de 4 milhões de utilizadores, argumentando que “não faria sentido extrair apenas 1,2 milhão de registos ao longo de três meses”.

O TecMundo, que teve acesso às evidências de ambas as partes, ressalta que não encontrou comprovação independente para nenhum dos dois números — nem os 1,2 milhão do iFood, nem os 43,8 milhões dos criminosos.

Papel da ANPD

A Agência Nacional de Proteção de Dados informou à Folha de S.Paulo que já notificou o iFood para que preste todas as informações necessárias sobre o vazamento. A ação da ANPD é relevante porque o iFood optou por não comunicar o incidente espontaneamente, baseando-se na avaliação interna de que o evento não representava risco relevante — uma interpretação que pode ser contestada pela autoridade reguladora.

A LGPD exige que controladores de dados comuniquem incidentes de segurança à ANPD e aos titulares quando possam acarretar risco ou dano relevante. A decisão do iFood de não notificar utilizadores levanta questões sobre a transparência corporativa em incidentes de cibersegurança.

Riscos para os afectados

Embora o iFood descarte a exposição de dados financeiros, o volume e a profundidade das informações vazadas criam riscos significativos. Com nomes, CPFs, e-mails, telefones e históricos de endereços, cibercriminosos podem:

  • Montar campanhas de phishing direcionadas com dados pessoais verídicos
  • Cruzar informações com outros vazamentos para completar perfis de identidade
  • Realizar fraudes por telefone (vishing) com contexto credível
  • Explorar o histórico de endereços para ataques de engenharia social

Os dados de funcionários e de contas institucionais (policiais, procuradores, juízes) presentes nas amostras adicionam uma camada de risco, uma vez que estes perfis podem ser alvos de operações de espionagem ou extorsão mais sofisticadas. Este caso recorda o vazamento na IMA Diligence, que expôs dados de 525 mil pessoas, e reforça um padrão preocupante de fraudes que exploram credenciais comprometidas para aceder a sistemas sensíveis.

Como se proteger

Para utilizadores do iFood e de plataformas de delivery em geral, as medidas de proteção incluem:

  1. Monitorizar o CPF: Utilize serviços como o portal do Serasa ou o Registrato do Banco Central para verificar consultas suspeitas ao seu CPF
  2. Atenção a contactos inesperados: Desconfie de ligações, mensagens ou e-mails que citem dados pessoais — mesmo que pareçam oficiais
  3. Não partilhar códigos por telefone: O iFood reforça que comunica apenas pelos canais oficiais da plataforma — nunca pedirá códigos por telefone ou mensagem
  4. Verificar extratos: Acompanhe movimentações em contas bancárias e cartões ligados à plataforma
  5. Autenticação em dois fatores: Active 2FA em todas as contas que contenham dados financeiros

Referências