iFood confirma vazamento de dados de 1,2 milhão de usuários após ataque hacker
-
EmPoucosMinutos - 04 Jun, 2026
A conceituada plataforma brasileira de intermediação de entregas de refeições iFood confirmou publicamente ter sido alvo de um ataque de invasão cibernética em seus bancos de dados digitais, resultando na exposição de informações privadas pertencentes a cerca de 1,2 milhão de usuários cadastrados no serviço de entrega rápida de refeições. De acordo com as explicações detalhadas fornecidas no pronunciamento da companhia, esse contingente de clientes impactados pela ação hacker corresponde a aproximadamente 2% da base total de usuários ativos que utilizam os serviços de entrega da empresa no país de forma recorrente em seus dispositivos móveis. A violação de segurança do sistema ocorreu no mês de dezembro de 2025 e, de acordo com o comunicado institucional emitido pela startup, os primeiros protocolos internos de contenção de ameaças digitais foram ativados com presteza pela equipe de engenharia de rede, permitindo isolar as contas afetadas e corrigir a falha operacional de forma célere. A manifestação oficial da empresa foi divulgada para responder a rumores que circulavam em fóruns especializados de segurança cibernética e canais de comunicação social apontando que o vazamento teria proporções muito mais severas, estimadas inicialmente em 43 milhões de registros corporativos vazados de forma indevida e prejudicial na rede mundial de computadores.
Critérios legais da ANPD e o canal SIRA como vetor de invasão
A administração da startup justificou a decisão de não realizar um comunicado público ou notificação individual aos usuários afetados na época do incidente com base nas regras contidas na Lei Geral de Proteção de Dados (LGPD). A equipe jurídica da empresa concluiu que, segundo os critérios técnicos definidos pela ANPD (Autoridade Nacional de Proteção de Dados), a emissão de alertas públicos é dispensada nos casos em que a vulnerabilidade temporária ou o vazamento pontual de dados não acarrete riscos imediatos ou potenciais danos relevantes aos titulares dos cadastros corporativos de maneira explícita e direta no cotidiano das contas. A análise técnica inicial sugere que os cibercriminosos obtiveram acesso não autorizado às bases de dados por meio de uma vulnerabilidade no portal SIRA (Sistema iFood de Resposta às Autoridades), canal de comunicação eletrônica restrito e desenvolvido exclusivamente para receber e processar ordens judiciais de quebra de sigilo enviadas por juízes e autoridades policiais no curso de investigações fiscais e criminais legais do estado, servindo como uma porta de entrada indevida para o roubo e compilação de dados pessoais e sigilosos dos usuários cadastrados na rede de serviços. A empresa refutou veementemente a informação de que 43 milhões de registros teriam sido expostos, classificando esses números de infundados e sem qualquer respaldo técnico após a realização de rigorosas auditorias forenses em seus servidores de dados. Essa verificação detalhada ajudou a delimitar o escopo da invasão ao SIRA, que é um canal crítico de interface governamental voltado ao cumprimento de mandados digitais de forma segura, mas que infelizmente acabou se tornando um ponto de vulnerabilidade devido a credenciais de acesso comprometidas ou falhas de autenticação de terceiros.
Análise das informações expostas e a segurança de dados regulatórios
Os registros vazados na internet pelos criminosos digitais e avaliados em reportagens do portal de jornalismo tecnológico TecMundo evidenciam a sensibilidade das informações cadastrais expostas a riscos na internet e dark web. Entre as chaves de informação capturadas ilegalmente e que circularam em repositórios da dark web, constam dados estruturais de identificação dos usuários da plataforma, tais como IDs internos de contas, nomes completos fornecidos para entrega, endereços de correio eletrônico ativos, números de telefone celular e CPFs de clientes reais. O episódio ressalta a necessidade premente de aprimoramento da proteção em sistemas de interface jurídica de grandes corporações de tecnologia no país, os quais necessitam manusear e compilar dados pessoais de cidadãos de forma constante para prestar esclarecimentos judiciais às cortes nacionais, desafiando a conformidade de segurança exigida pelos órgãos federais em tempos de fiscalização rigorosa das diretrizes de privacidade de dados pessoais no Brasil de forma a mitigar golpes virtuais, clonagem de cartões de crédito e ataques futuros que coloquem em risco a imagem institucional da empresa perante os clientes. Como consequência direta do vazamento desses dados sensíveis, especialistas em segurança da informação alertam para o risco iminente de golpes de phishing direcionados, onde os criminosos utilizam os CPFs, nomes e e-mails vazados para criar mensagens personalizadas convincentes que simulam comunicações reais do próprio iFood ou de instituições financeiras parceiras. Para neutralizar esses riscos secundários, recomenda-se aos usuários a alteração periódica de suas senhas de acesso à plataforma de entrega, bem como a ativação de recursos extras de proteção cibernética, como a autenticação multifator.
