iFood confirma vazamento de CPF e nome de 1,2 milhão de usuários.

           Vazamento iFood: o que foi afetado, o que não foi e o que você deve fazer agora.   —  Foto: JASB.

 

iFood confirma vazamento de CPF e nome de 1,2 milhão de usuários. 

Publicado no JASB em 04.junho.2026. Atualizado em 05.junho.2026.

WhatsApp: Grupos Estaduais | O iFood demorou 6 meses para contar: o vazamento de dados que veio a público por criminosos.

--

-ad52

O iFood reconheceu formalmente, em 3 de junho de 2026, um vazamento de dados ocorrido em dezembro de 2025. A empresa afirma que o incidente foi contido rapidamente. O que ela não explica é por que levou seis meses para informar os usuários afetados.

O que aconteceu — e como veio à tona

Na quinta-feira, 28 de maio, um usuário anunciou em fóruns de cibercriminosos o vazamento de dados de 43,8 milhões de clientes do iFood. As amostras publicadas continham e-mails e dados pessoais, mas sem metadados que permitissem confirmar a origem ou a data do incidente.

--

-ad4

Na sexta-feira, 29, o iFood negou ter encontrado indícios de invasão recente. No fim de semana, um dos criminosos voltou com novas evidências que mostravam proporção maior do que a empresa havia admitido.

  VEJA TAMBÉM:  

✳️WhatsApp libera conversas sem conta. 

✳️12 aplicativos para ganhar dinheiro. 

✳️Aplicativos de namoro se multiplicam no Brasil... 

✳️Samsung Galaxy A07 5G chega ao Brasil com... 

✳️Nova Carteira Nacional de Habilitação digital 

Na madrugada de quarta-feira, 3 de junho, o iFood confirmou o incidente — mas limitou o reconhecimento a 1,2 milhão de usuários afetados, correspondente a cerca de 2% de sua base de clientes.

O que foi vazado — e o que não foi

A nota oficial do iFood foi direta sobre o escopo confirmado. Foram expostos:

—  Nome completo dos usuários;

—  CPF.

--

-ad7

A empresa afirmou que não foram comprometidos:

—  Senhas de acesso às contas;

—  Meios de pagamento cadastrados;

—  Dados bancários.

Registros financeiros de qualquer natureza

A nota ainda afirmou que o incidente foi "rapidamente neutralizado pelos protocolos de segurança" da empresa — o que contrasta com o fato de que o vazamento só veio a público seis meses depois, por iniciativa de criminosos, não do iFood.

O que o criminoso diz — e onde as versões divergem

Na madrugada de quarta-feira, o criminoso negou as declarações do iFood e afirmou que o vazamento que está comercializando é diferente do reconhecido pela empresa — e que teria dados de pelo menos 4 milhões de usuários, não 1,2 milhão.

--

-ad5

O iFood negou haver evidências concretas de que 43,8 milhões de registros tenham sido vazados. Afirmou também que não há comprovação para o número de 4 milhões.

A divergência entre a versão da empresa e a do criminoso permanece sem resolução pública. O que os dois lados confirmam é que houve um incidente real em dezembro de 2025 — e que os dados estão circulando em fóruns de cibercriminosos.

Por que CPF e nome vazados são um problema real

O iFood enfatizou que senhas e dados financeiros não foram expostos. Essa distinção é verdadeira — mas insuficiente para minimizar o risco ao usuário.

CPF e nome são a base do chamado ataque de engenharia social. Com esses dois dados, criminosos podem ligar para a vítima se passando por operadoras, bancos ou órgãos públicos, criando contextos convincentes para extrair senhas, códigos de autenticação ou dados bancários por telefone — sem precisar invadir nenhum sistema adicional.

Além disso, CPF e nome são os dados utilizados em fraudes de abertura de crédito, solicitação de empréstimos e até registros em serviços digitais em nome de outra pessoa.

--

-ad9

A questão que a nota do iFood não responde

A LGPD — Lei Geral de Proteção de Dados — obriga as empresas a comunicar ao órgão regulador e às pessoas afetadas a ocorrência de incidentes de segurança que possam acarretar risco ou dano relevante. O prazo para notificação é de dois dias úteis após a ciência do incidente.

O iFood afirma que identificou e neutralizou o incidente em dezembro de 2025. A confirmação pública foi feita em junho de 2026 — seis meses depois. 

           Entregador do iFood.   —  Foto: JASB.

A empresa não explicou na nota oficial por que os usuários afetados não foram notificados individualmente dentro do prazo legal, nem se a Autoridade Nacional de Proteção de Dados foi comunicada no prazo exigido.

A ANPD, procurada pela imprensa, não se pronunciou até o fechamento desta reportagem.

O que o usuário deve fazer agora

Para quem usa o iFood e quer minimizar os riscos diante do vazamento confirmado:

Monitore o CPF: use o Registrato do Banco Central (registrato.bcb.gov.br) para verificar se há contas ou operações de crédito abertas em seu nome sem seu conhecimento.

-

-10

Desconfie de ligações: qualquer contato por telefone ou WhatsApp que mencione seu nome completo e peça confirmação de dados ou códigos deve ser tratado como tentativa de golpe.

Ative a autenticação em dois fatores: no iFood e em qualquer serviço que ofereça essa proteção adicional.

Verifique e-mails suspeitos: comunicações que pareçam vir do iFood, mas cheguem por canais não oficiais, devem ser ignoradas — a empresa reforçou que comunica usuários apenas pelos canais oficiais da plataforma.

  VEJA TAMBÉM:  

✳️Duas jovens influenciadoras morrem após mal súbito. 

✳️3 brasileiras na lista das 100 mais poderosas do mundo. 

✳️Estudo aponta: GPT-5 é perigoso para a saúde... 

✳️O cão-guia que fala: a IA que mudará a vida de cegos. 

✳️De padaria à sala de aula de uma multinacional russa: Jhonatas. 

Autor: Samuel Camêlo.

Fonte: JASB - Jornal dos Agentes de Saúde do Brasil - www.jasb.com.br. 

Edição Geral: JASB.

Encaminhamento de denúncia ao JASB: Acesse aqui.

--

-ad9

O jornalismo do JASB.com.br precisa de você para continuar marcando ponto na vida das pessoas. Compartilhe as nossas notícias em suas redes sociais!