iFood tem nomes e CPFs de 1,2 milhão de clientes expostos e episódio reacende alerta para golpes com dados cadastrais
O iFood confirmou um incidente de segurança que expôs dados cadastrais de cerca de 2% de sua base de usuários – algo em torno de 1,2 milhão de pessoas. Entre as informações acessadas indevidamente estavam, principalmente, nome completo e CPF dos clientes.
Segundo a empresa, a ação maliciosa ocorreu em dezembro de 2025, mas só veio a público após uma reportagem especializada revelar a existência de dados de usuários circulando na internet. Um indivíduo que se identificou como “Harold Baker” afirmou ser o responsável pelo vazamento e compartilhou amostras de informações com jornalistas, que as encaminharam ao iFood para verificação.
Após análises internas, o iFood reconheceu que o conjunto de dados divulgado está relacionado a um incidente isolado. A companhia ressalta que, apesar do acesso indevido a informações cadastrais, não houve comprometimento de senhas, dados completos de cartões, meios de pagamento ou registros financeiros de usuários.
Que tipo de informação foi exposta?
Na análise técnica feita a partir de uma das amostras, foram identificados dados de quatro clientes, contendo:
– CPF;
– nome completo;
– número de telefone;
– endereço de e-mail;
– CPFs associados;
– histórico de endereços de entrega.
Também apareceram referências a cartões de crédito, porém com numeração incompleta e sem data de validade ou código de segurança, o que reduz o risco de uso direto em fraudes financeiras, mas não elimina o perigo de golpes de engenharia social.
Outras duas amostras obtidas envolvem cadastros de funcionários do próprio iFood e de servidores de órgãos públicos. Essa ligação faz sentido diante da explicação dada pelo suposto responsável pelo vazamento: segundo ele, os dados teriam sido obtidos a partir de um portal do iFood destinado a solicitações judiciais, administrativas ou ligadas à vigilância sanitária.
Posição oficial do iFood
Em nota, a empresa afirma que o incidente foi rapidamente contido por seus protocolos internos de segurança e que não há evidências de que um volume maior de informações tenha sido comprometido. O iFood rejeita, em especial, a alegação de que 43 milhões de usuários teriam sido afetados – número divulgado por um perfil anônimo que também ameaçou liberar dados sensíveis, como cartões de crédito e e-mails.
De acordo com a comunicação oficial, o impacto ficou restrito a cerca de 2% da base de usuários, alcançando aproximadamente 1,2 milhão de clientes. A companhia reforça que:
– o vazamento se limitou a dados cadastrais (nome, CPF e informações associadas);
– não houve comprometimento de senhas de acesso;
– não há evidência de exposição de dados de pagamento ou registros financeiros;
– os canais oficiais do iFood são o único meio legítimo de contato com usuários.
A empresa afirma ainda atuar em conformidade com a Lei Geral de Proteção de Dados (LGPD) e declara que vem aprimorando continuamente seus sistemas para evitar novos incidentes.
LGPD, comunicação de incidentes e atuação da ANPD
Segundo o iFood, o caso foi tratado e avaliado internamente seguindo os parâmetros da LGPD e da Autoridade Nacional de Proteção de Dados (ANPD). Pela interpretação da empresa, o episódio não exigiria comunicação direta a todos os titulares, pois não teria gerado risco ou dano relevante dentro dos critérios regulatórios.
Esse ponto costuma gerar debate: para especialistas em proteção de dados, mesmo vazamentos de “apenas” dados cadastrais podem aumentar a superfície de ataque para golpes, especialmente em um país onde o CPF é amplamente usado como chave de identificação em cadastros, serviços financeiros e programas de fidelidade.
Ainda que a LGPD permita certa margem de avaliação sobre o “grau de risco” do incidente, cresce a pressão para que empresas sejam mais transparentes sempre que dados pessoais forem indevidamente acessados. A comunicação rápida e clara ajuda usuários a se protegerem melhor de possíveis fraudes posteriores.
Risco real: golpes com dados cadastrais e engenharia social
Mesmo quando senhas e cartões não são vazados, o acesso a informações como nome, CPF, e-mail, telefone e endereços já é suficiente para tornar golpes de engenharia social muito mais convincentes. Criminosos costumam usar esses dados para:
– aplicar golpes por telefone ou mensagem fingindo ser da empresa de delivery, de bancos ou de operadoras;
– se passar por atendente de suporte, confirmando dados verdadeiros para obter informações adicionais, como códigos enviados por SMS;
– montar perfis falsos em cadastros de crédito e outros serviços;
– cruzar informações vazadas de diferentes bases para construir dossiês mais completos sobre uma mesma pessoa.
Em situações assim, a vítima é levada a confiar no contato porque o golpista conhece dados verdadeiros sobre sua rotina, como antigos endereços de entrega, nome de familiares, últimos dígitos de um cartão ou histórico de pedidos. Isso aumenta muito a taxa de sucesso de fraudes.
Como o consumidor pode se proteger após um vazamento
Diante de um episódio como o do iFood, usuários podem adotar uma série de medidas preventivas, mesmo quando não há indicação de vazamento de senhas ou cartões:
1. Desconfiar de ligações, mensagens e e-mails não solicitados
Qualquer contato afirmando ser do iFood, de bancos ou de empresas parceiras deve ser visto com cautela. Em caso de dúvida, encerre o contato e procure diretamente o canal oficial da empresa pelo aplicativo ou site.
2. Nunca informar códigos recebidos por SMS ou e-mail
Códigos de verificação, tokens e senhas de uso único jamais devem ser informados a terceiros. Empresas sérias não solicitam esse tipo de dado por ligação ou mensagens de aplicativos.
3. Revisar e reforçar senhas
Mesmo que a empresa afirme que as senhas não foram comprometidas, é prudente:
– usar senhas fortes e únicas para cada serviço;
– evitar repetir a mesma senha em e-mails, bancos, redes sociais e apps de delivery;
– ativar autenticação em duas etapas sempre que possível.
4. Monitorar movimentações financeiras e faturas de cartão
Verifique com frequência lançamentos suspeitos ou transações estranhas. Ao menor sinal de uso indevido, comunique o banco ou a operadora do cartão imediatamente.
5. Acompanhar seu CPF em serviços de monitoramento
É recomendável usar serviços que alertam sobre abertura de crédito, financiamentos ou cadastros feitos em seu nome. Isso permite reagir mais rápido a eventuais fraudes.
Instituições buscam soluções estruturais: a plataforma do Instituto Empresa
Em um contexto de vazamentos recorrentes e golpes cada vez mais sofisticados, surgem iniciativas para dar mais controle às vítimas sobre o uso de seus dados. Uma delas vem do Instituto Empresa, que lançou uma plataforma gratuita chamada “Vazamento de Dados”.
A proposta é permitir que consumidores e investidores registrem formalmente a exposição de seus dados pessoais e financeiros. Ao centralizar essas notificações, a ferramenta ajuda a:
– criar um histórico documentado de incidentes envolvendo um determinado CPF ou CNPJ;
– apoiar investigações de fraudes que podem ter se originado em vazamentos anteriores;
– fornecer subsídios para eventuais medidas legais ou administrativas contra empresas negligentes;
– fortalecer a conscientização sobre o impacto real das falhas de segurança no dia a dia das pessoas.
Para a entidade, casos como o do iFood demonstram que o problema de segurança não se limita mais ao perímetro técnico dos sistemas, alcançando diretamente a integridade informacional de consumidores e investidores. Quando dados pessoais passam a circular em mercados paralelos, o risco deixa de ser abstrato e se materializa em golpes concretos, perda financeira e desgaste emocional.
Por que dados “simples” como nome e CPF são tão valiosos?
No Brasil, o CPF é uma espécie de “chave mestra” para a vida civil, financeira e de consumo. Ele é usado para:
– abrir contas bancárias e solicitar cartões;
– fazer cadastro em lojas físicas e virtuais;
– acessar programas de milhagem e fidelidade;
– registrar contratos de serviços, assinaturas e financiamentos.
Quando um conjunto de informações como nome, CPF, telefone, e-mail e endereços é reunido em um único pacote, ele se torna extremamente útil para quadrilhas especializadas. Mesmo sem senhas, é possível:
– simular a identidade da vítima em certas operações menos rigorosas de verificação;
– responder a perguntas de segurança baseadas em dados pessoais;
– montar dossiês para ataques posteriores mais elaborados.
Por isso, minimizar o impacto de vazamentos dizendo que “foi apenas nome e CPF” não elimina a gravidade do episódio. Informações cadastrais são o alicerce da engenharia social.
Responsabilidade das empresas em tempos de vazamentos constantes
O caso do iFood se soma a uma longa lista de incidentes envolvendo grandes bases de dados. Em todos eles, uma discussão central retorna: até que ponto as empresas estão investindo o suficiente em segurança e governança de dados?
Além de firewalls, criptografia e monitoramento de acessos, é fundamental:
– limitar rigorosamente quem pode acessar dados sensíveis, inclusive em portais internos e áreas destinadas a requisições judiciais;
– manter registros detalhados de acessos e alterações (logs) para facilitar a investigação de incidentes;
– aplicar testes de invasão periódicos para detectar vulnerabilidades;
– treinar funcionários e prestadores de serviço sobre privacidade e proteção de dados.
A transparência também é peça-chave. Informar rapidamente a ocorrência de incidentes, explicar o que foi afetado, o que foi feito para conter o problema e como o usuário pode se proteger são atitudes que reduzem danos e fortalecem a confiança.
O que esperar daqui para frente
Com o endurecimento das regras e o amadurecimento da LGPD, a tendência é que incidentes como o vazamento no iFood sejam mais escrutinados por órgãos reguladores e pela sociedade. Espera-se que:
– as empresas adotem políticas mais rígidas de proteção, especialmente em portais e sistemas usados para cumprir ordens judiciais e administrativas;
– ferramentas de monitoramento de crédito e de proteção de identidade ganhem mais relevância para o cidadão comum;
– iniciativas como a plataforma do Instituto Empresa ampliem a capacidade de registro, rastreio e responsabilização em casos de vazamento;
– a educação digital se torne pilar central, ensinando a população a reconhecer abordagens suspeitas e a proteger melhor seus dados.
Enquanto isso, o consumidor precisa assumir um papel ativo: acompanhar notícias sobre incidentes, monitorar o próprio CPF, desconfiar de contatos que usam dados pessoais para ganhar confiança e, sempre que possível, exigir mais transparência das empresas que armazenam suas informações.
No fim, episódios como o vazamento de nomes e CPFs de clientes do iFood evidenciam que a segurança de dados não é mais um tema apenas técnico ou corporativo. Ela se tornou um componente essencial da segurança pessoal, financeira e até emocional de milhões de brasileiros.