São Paulo — O iFood confirmou oficialmente nesta quarta-feira, 3 de junho, que sofreu um vazamento de dados que afetou cerca de 1,2 milhão de usuários em todo o Brasil. O incidente de segurança foi registrado ainda em dezembro de 2025, contido rapidamente pelas equipes internas e envolve apenas dois tipos de informação: nome completo e número do CPF. A plataforma garante que dados sensíveis como senhas, informações de pagamento, dados bancários, registros financeiros ou detalhes de transações não foram acessados ou comprometidos.
A notícia, que agora se torna pública, explica que a empresa avaliou o episódio com base nas regras da Lei Geral de Proteção de Dados (LGPD) e nos critérios da Autoridade Nacional de Proteção de Dados (ANPD). Segundo a legislação, a comunicação imediata ao público é dispensada quando o evento não representa risco ou dano relevante aos usuários, condição que, na avaliação técnica da companhia, se aplica ao caso por não haver exposição de informações que permitam acesso a contas ou valores.
O que realmente foi vazado e o que está seguro
De forma clara e detalhada, o iFood informa que o acesso indevido restringiu-se a cadastros básicos. Foram expostos apenas nome e CPF, dados que existem em diversos bancos de dados públicos e privados, mas que, isoladamente, não permitem movimentação financeira, compras ou alteração de cadastro na plataforma.
O ponto principal que traz segurança aos usuários é a garantia de que nenhuma informação crítica foi comprometida. Não houve vazamento de senhas, códigos de acesso, números de cartão de crédito ou débito, dados de contas bancárias, histórico de pedidos ou endereços de entrega. Todos esses dados permanecem criptografados e protegidos nos sistemas da empresa.
Em nota oficial, a companhia declarou: “O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma. A segurança da nossa comunidade é prioridade e seguimos atuando em estrita conformidade com a LGPD para aprimorar constantemente nossos sistemas”. A empresa também ressaltou que já adotou medidas adicionais de proteção e monitoramento para evitar novas tentativas de acesso não autorizado.
Entenda por que o caso só foi divulgado agora
Um dos pontos que mais gerou dúvidas é o intervalo de seis meses entre a detecção do problema e a comunicação ao público. Segundo a empresa, a demora não representa omissão, mas cumprimento de norma técnica. “O incidente foi tratado e avaliado em estrita conformidade com a legislação, que dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD”, explicou trecho do comunicado.
Para especialistas em proteção de dados, a regra existe para evitar alarmes desnecessários, mas a transparência ajuda na prevenção. “Mesmo que não haja risco financeiro imediato, o CPF pode ser usado em golpes de engenharia social. A comunicação permite que o usuário fique atento”, afirma o advogado especializado em direito digital Renato Oliveira. A ANPD pode abrir apuração própria para verificar se a avaliação da empresa está correta e se todos os procedimentos legais foram cumpridos.
Riscos reais: golpes e tentativas de fraude
Embora não haja risco de roubo de dinheiro ou invasão de contas, a posse de nome e CPF por terceiros pode ser usada para aplicar golpes. O tipo mais comum é a chamada engenharia social: criminosos entram em contato se passando por atendentes do iFood, de bancos ou de órgãos públicos, usam os dados verdadeiros para ganhar confiança e pedem informações complementares, códigos de verificação ou valores sob alegação de problemas cadastrais, supostos reembolsos ou benefícios.
Por isso, o alerta principal é: o iFood nunca envia mensagens, ligações ou e-mails pedindo senhas, códigos recebidos por SMS, dados de cartão ou transferências de dinheiro. Qualquer contato com esse teor é golpe. Todas as comunicações oficiais da plataforma estão disponíveis apenas dentro do aplicativo ou no site oficial, nunca por links recebidos por mensagem.
Passo a passo para se proteger agora
Diante da confirmação do vazamento, usuários afetados e até mesmo quem não teve dados expostos devem adotar medidas simples de segurança:
- Nunca compartilhe códigos de verificação recebidos no celular com ninguém;
- Não clique em links enviados por mensagem, WhatsApp ou e-mail que dizem ser do iFood;
- Sempre acesse a plataforma diretamente pelo aplicativo baixado em lojas oficiais;
- Desconfie de contatos que mencionam seu nome e CPF para criar urgência ou pedir dados;
- Ative notificações de acesso à conta para saber sempre que houver um novo login.
A empresa reforça que o sistema de segurança já foi reforçado desde dezembro e que o monitoramento segue 24 horas por dia. O impacto é considerado pequeno diante do tamanho da operação: dos cerca de 60 milhões de usuários cadastrados no Brasil, apenas 2% foram atingidos.
O que muda para o usuário e o mercado
Este é mais um episódio que reforça a importância da proteção de dados na economia digital. Para o iFood, o caso mostra que mesmo grandes estruturas estão sujeitas a tentativas de invasão, mas também que protocolos de segurança bem estruturados podem conter danos. A transparência, mesmo que tardia, segue padrões regulatórios e ajuda a orientar a população.
Para o mercado, o episódio deve servir de alerta para revisão de processos e investimentos contínuos em tecnologia de segurança. Para o usuário, a lição é que dados pessoais são ativos valiosos e que a proteção é compartilhada: cabe às empresas guardar, mas cabe a cada um saber reagir quando algo sai do controle.
Qualquer atualização sobre o caso será comunicada exclusivamente pelos canais oficiais da plataforma. Dúvidas devem ser direcionadas ao suporte dentro do próprio aplicativo, nunca por contatos recebidos de forma espontânea.
