iFood tem vazamento de dados de 1,2 milhão de clientes, diz site
Plataforma lida internamente com o caso; criminosos tiveram acesso a dados pessoais de clientes
-1jy7orqt0u4hi.png "Redação Terra"){kind=small}
Um vazamento de dados teria afetado, pelo menos, 1,2 milhão de usuários do iFood. O material foi anunciado por criminosos e é derivado de um incidente interno ocorrido em dezembro de 2025, mas que não havia sido revelado até o momento, segundo a empresa. O caso foi revelado pelo portal Tecmundo.
Receba as principais notícias direto no WhatsApp! Inscreva-se no canal do Terra
O caso iFood teve início na última quinta-feira, 28, quando um usuário anunciou o vazamento de dados de 43,8 milhões de clientes da plataforma. Na ocasião, as informações não tinham evidências, e amostras publicadas no serviço Paste.sh não tinham metadados, apenas linhas de texto, por isso, não foi possível identificar a data do vazamento. Só seria possível observar o tipo de dado que poderia ter sido obtido.
As amostras tinham e-mails e dados pessoais de usuários, mas não havia uma ligação concreta dos dados com o iFood e nem se sabia a dimensão do vazamento. Procurados pelo Tecmundo, os criminosos não retornaram o contato inicialmente.
Na sexta-feira, 29, o iFood negou ter encontrado indícios de invasão recente. A reportagem foi procurada por um dos criminosos, com novas evidências. Os arquivos mostraram que o incidente tinha uma proporção ainda maior do que se esperava, e o iFood alegou que identificou a origem do vazamento e sua extensão, negando que mais de 40 milhões tivessem sido afetados.
Na madrugada desta quarta-feira, 3, o criminoso negou as citações do iFood, e afirmou que trata-se de outro vazamento de dados, e alega ter recebido arquivos com informações de, pelo menos, 4 milhões de usuários. Não há evidências desta informação.
O que diz o iFood
Ao Terra, o iFood informou que não há evidências concretas de que mais de 40 milhões de dados de usuários teriam sido vazados. A empresa alega que o incidente foi isolado e ocorreu em dezembro de 2025, e já foi controlado.
Ainda de acordo com a empresa, dados como senhas, números de cartões de crédito e registros financeiros não foram vazados, e o impacto foi em cerca de 2% da base de usuários. Leia a nota a seguir.
"O iFood não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados. Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança. O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da nossa base de usuários.
O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma. A segurança da nossa comunidade é prioridade e seguimos atuando em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD) para aprimorar constantemente nossos sistemas."
Falha permitiu acesso
A origem do vazamento teria sido o Sistema iFood de Resposta às Autoridades (SIRA), um portal dedicado a responder solicitações judiciais, administrativas ou de vigilância sanitária. Uma falha teria permitido a extração gradual dos dados de clientes, de modo a minimizar atividades suspeitas e não alertar os sistemas de segurança.
A vulnerabilidade já apareceu em outros casos de vazamentos de dados, como nos aplicativos Sapphos, a plataforma Estácio e no site da CEMIG.
O criminoso informou ainda que teria usado o acesso de uma conta da polícia para identificar a falha pelo SIRA. Ele comentou que a vulnerabilidade foi explorada por cerca de três meses com motivação financeira, ou seja, a fim de pedir um resgate ao iFood em troca das informações.
Dados vazados
Segundo análise do Tecmundo, os arquivos enviados pelos criminosos possuem indícios de acesso ao SIRA. Entre os registros estariam dados de milhares de usuários vinculados a instituições como Polícia Federal, polícias civis estaduais, Ministérios Públicos, tribunais, defensorias públicas e polícias militares.
Além disso, as amostras indicam a exposição de informações cadastrais de clientes, como nome, CPF, telefone, e-mail e histórico de endereços de entrega. Em alguns casos, também aparecem referências a cartões de pagamento parcialmente ocultos, sem exibição de códigos de segurança ou datas de validade.
Embora não haja evidências de vazamento de senhas ou dados financeiros completos, o conjunto de informações pode ser usado em golpes de engenharia social, nos quais criminosos utilizam dados reais para se passar por empresas ou instituições e tentar obter novas informações das vítimas.
-1k1rp4bv5xagh.jpg)
-(1)-1ibea6sih6x4n.png)
Comentários
Os comentários são de responsabilidade exclusiva de seus autores e não representam a opinião deste site. Se achar algo que viole os termos de uso, denuncie.