O iFood comunicou ter identificado um vazamento de dados envolvendo 1,2 milhão de usuários, número que a empresa classifica como cerca de 2% da sua base total. Segundo o material analisado, o incidente teria ocorrido em dezembro de 2025 e sido contido após ações internas.
Em nota enviada ao conjunto de documentos disponibilizados ao Noticioso360, a empresa relata ter tomado medidas para deter acesso não autorizado e iniciar investigações. Segundo a apuração da redação do Noticioso360, há diferenças relevantes entre a versão oficial e uma reivindicação atribuída a um invasor.
O que a empresa afirma
De acordo com o comunicado presente no material, o iFood identificou o incidente em dezembro de 2025 e descreveu o impacto como limitado, afetando 1,2 milhão de registros, o que corresponderia a aproximadamente 2% da base de usuários da plataforma.
A empresa afirma ter adotado medidas de contenção imediatamente após a detecção e iniciado uma investigação forense interna, além de revisar controles de segurança. No material fornecido não há detalhes técnicos profundos sobre a origem do ataque, vetores explorados ou laudos públicos que comprovem as conclusões.
Versão do suposto invasor
Paralelamente ao comunicado corporativo, circulou uma reivindicação de um agente que se autodenominou invasor e afirmou que os dados exfiltrados atingiriam até 43 milhões de usuários — um número muito superior ao informado pela plataforma.
Essa alegação, se confirmada, representaria um impacto exponencialmente maior e implicaria riscos muito mais graves para a privacidade e a segurança dos usuários. No entanto, o material entregue não inclui provas técnicas públicas, amostras verificáveis ou relatórios independentes que possam corroborar a versão do atacante.
Discrepância entre números
Há várias explicações possíveis para a diferença entre as duas versões. Entre elas estão variações metodológicas na contagem (duplicados, registros inativos ou bases auxiliares), exagero por parte do atacante para ganhar visibilidade ou pressão, ou ainda subestimação — intencional ou não — por parte da empresa enquanto a investigação não é concluída.
Especialistas em resposta a incidentes costumam observar que estimativas iniciais mudam à medida que perícias forenses avançam, e que divergências são comuns em fases preliminares de investigação.
O que está confirmado no material
- Existência de um incidente envolvendo dados de usuários do iFood.
- Informação presente no comunicado: 1,2 milhão de registros afetados (2% da base, segundo a empresa).
- Indicação temporal de que o incidente ocorreu em dezembro de 2025, com detecção posterior e ações de contenção.
Pontos que exigem verificação externa
A apuração do Noticioso360 destaca que o material fornecido não permite, por si só, confirmar elementos cruciais. Entre as lacunas estão:
- Alcance real dos dados expostos — a alegação do invasor de 43 milhões precisa de evidência técnica ou amostras verificáveis.
- Tipos específicos de dados vazados — não há descrição confiável sobre se nomes, e-mails, endereços ou dados de pagamento foram comprometidos.
- Cronologia detalhada e comunicações formais a autoridades — faltam registros públicos de notificações à ANPD, à Polícia Federal ou outros órgãos.
Possíveis implicações
Se o alcance realmente for de 1,2 milhão de registros, trata-se de um incidente sério, porém de proporção mais contida. Ainda assim, afetaria diretamente a privacidade de milhares de usuários e exigiria ações de remediação, monitoramento e comunicação clara por parte da empresa.
Por outro lado, a confirmação de um vazamento na ordem de dezenas de milhões mudaria substancialmente a avaliação de risco: implicaria maior exposição a fraudes, engenharia social em larga escala e responsabilidades legais acrescidas.
Recomendações da redação
Para esclarecer a extensão e o impacto do episódio, sugerimos medidas de verificação e transparência, entre as quais:
- Solicitar ao iFood laudos de investigação forense, internos ou de terceiros, que detalhem vetores, amostras e volume de dados exfiltrados.
- Verificar em bases públicas e fóruns especializados por amostras do suposto vazamento que possam comprovar o alcance declarado pelo invasor.
- Buscar confirmação de notificações enviadas a autoridades competentes, como a ANPD e órgãos policiais, por meio de pedidos formais de informação.
- Aguardar publicações de veículos de imprensa que apresentem documentos, entrevistas e evidências independentes antes de consolidar estimativas finais.
Transparência e responsabilidade
A diferença entre as versões ilustra um problema recorrente em episódios de segurança: a tensão entre comunicação rápida e precisa, e a necessidade de investigação técnica aprofundada. A postura da empresa em disponibilizar relatórios e cooperar com autoridades será determinante para reduzir incertezas e orientar usuários.
Conteúdo verificado e editado pela Redação do Noticioso360, com base em fontes jornalísticas verificadas.
Fontes
Perspectiva: Analistas apontam que o desfecho das investigações pode redefinir como plataformas de entrega comunicam incidentes aos usuários e às autoridades nos próximos meses.
Veja mais
- Força Aérea afirma que radares não registraram objetos desconhecidos sobre Campo Largo, na região metropolitana de Curitiba.
- Marinha confirma que corpo localizado em Ilhabela pertence a Dheoge Bernardino; buscas duraram nove dias.
- Operação da Receita e Polícia Federal cumpriu 19 mandados em SC e SP; investigação apura R$ 10 milhões.
