iFood expõe milhões de brasileiros a golpistas e omite fato das autoridades de proteção de dados

Seis meses. Esse foi o tempo entre o momento em que o iFood identificou uma falha em seus sistemas e o dia em que a empresa admitiu publicamente que dados de 1,2 milhão de usuários haviam sido expostos. A confirmação só veio após criminosos anunciarem a venda das informações em fóruns da dark web, forçando a plataforma a sair do silêncio. 

Para especialistas em cibersegurança e direito digital ouvidos pelo Times Brasil – Licenciado Exclusivo CNBC, a conduta da empresa contraria a LGPD e expõe uma falha estrutural na cultura de segurança da companhia.

“A alegação de que não houve vazamento de dados bancários ou senhas para descaracterizar o risco é falha. O cruzamento de histórico de endereços, telefones e CPFs viabiliza golpes de engenharia social altamente refinados, como falsos motoboys, falsas confirmações de compras e golpes de atualização de cadastro. A escala de 1,2 milhão de pessoas afetadas, por si só, já caracteriza impacto de grande escala, tornando a dispensa de notificação um posicionamento juridicamente frágil”, afirmou Marco Zanini, CEO da DINAMO Networks, empresa referência em segurança digital e criptografia no Brasil. 

Leia também: Nvidia RTX Spark chegou com tudo, menos com preço acessível e um comprador em mente

Dezembro de 2025, junho de 2026

O incidente ocorreu em dezembro de 2025. Segundo apuração do TecMundo, a origem da brecha foi uma falha do tipo IDOR no Sistema iFood de Resposta às Autoridades, o SIRA.

🔍 IDOR: Tipo de vulnerabilidade em sistemas digitais que permite a um usuário acessar dados de outras pessoas simplesmente alterando parâmetros de uma requisição, sem que o sistema verifique se ele tem autorização para aquele acesso específico.

O SIRA é um portal interno da plataforma usado para atender requisições judiciais, administrativas e de órgãos de segurança pública. Segundo o criminoso identificado como “Harold Baker”, que entrou em contato com o TecMundo, uma conta policial comprometida teria dado acesso ao sistema. A extração dos dados teria ocorrido de forma gradual ao longo de aproximadamente três meses, justamente para não disparar alertas nos mecanismos de monitoramento.

O caso só veio a público em 28 de maio de 2026, quando um usuário identificado como “bacen” anunciou no BreachForums ter acesso a 43,8 milhões de registros de clientes brasileiros do iFood e estabeleceu prazo até 10 de junho para que a empresa pagasse resgate.

🔍 Bleach Forums: Fórum na dark web especializado na compra e venda de dados roubados, frequentado por grupos criminosos especializados em ataques cibernéticos.

O iFood negou inicialmente qualquer invasão. Após novos arquivos serem revelados, a plataforma reconheceu a falha de segurança na quarta-feira (3) e confirmou que 1,2 milhão de usuários tiveram nome e CPF expostos. 

A empresa negou que os 43,8 milhões de registros alegados pelos criminosos tenham sido comprometidos e afirmou que senhas, dados bancários e meios de pagamento não foram afetados.

Silêncio que a LGPD não autoriza

O iFood justificou a ausência de notificação à Autoridade Nacional de Proteção de Dados alegando que o incidente não configurou “risco ou dano relevante” aos titulares, critério previsto no Artigo 48 da LGPD para a comunicação obrigatória. Para os especialistas ouvidos pelo Times Brasil – Licenciado Exclusivo CNBC, o argumento não se sustenta.

“É difícil concordar, porque a própria empresa não pode estabelecer isso. Se cada um arbitrar por conta própria, não haveria necessidade de regulamentações e leis. São dados cadastrais, dados que são importantes. A lei existe e ela preconiza que exista a notificação”, afirmou Arthur Igreja, especialista em tecnologia.

Leia também: Análise: por que ações de semicondutores estão derretendo mesmo com os resultados recordes

ANPD cobra explicações do iFood

A Autoridade Nacional de Proteção de Dados confirmou ao Estadão que não recebeu comunicação formal do iFood sobre o incidente e passou a cobrar explicações da empresa apenas após a repercussão pública do caso. O órgão lembrou que a LGPD determina que incidentes com potencial de gerar risco aos titulares devem ser comunicados tanto à autoridade quanto aos próprios usuários em até três dias úteis.

Fernando De Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil, explica que a avaliação de risco inicial cabe ao controlador dos dados, mas que essa análise não é definitiva.

“A ANPD pode apurar incidentes não comunicados por meio do Processo de Apuração de Incidente, solicitar informações ao controlador e, se constatar risco relevante, determinar a comunicação. A ANPD é a autoridade final para verificação de conformidade”, afirmou De Falchi.

🔍 Controlador de dados: Termo da LGPD que designa a empresa ou pessoa responsável por decidir como os dados pessoais de terceiros são coletados, armazenados e utilizados.

Siga o Times Brasil no Google e receba as principais notícias do Brasil e do Mundo.

Seguir no Google

Falha no elo mais fraco

Além da discussão sobre a notificação, os especialistas apontam que a origem da brecha revela um problema mais profundo na arquitetura de segurança da plataforma. O SIRA, sistema que processa requisições de juízes, promotores e delegados, operava sem autenticação reforçada e sem mecanismos eficazes contra extração gradual de dados.

“Revela o clássico erro de priorizar a segurança do core business, o aplicativo do usuário final, enquanto plataformas internas de back-office permanecem negligenciadas. O ecossistema é tão forte quanto o seu elo mais fraco”, analisou Zanini. “Se o SIRA lida com dados que envolvem investigações criminais e ordens judiciais, a falta de autenticação multifator de alta garantia expõe uma desconexão preocupante entre a sensibilidade do dado armazenado e o nível de investimento em segurança naquele ativo.”

De Falchi reforça que sistemas com esse perfil de acesso exigem controles proporcionais ao risco. “Sistemas como o SIRA lidam com dados sensíveis e integrações com autoridades, o que reforça a importância de controles de acesso robustos como prática padrão em ambientes de alto risco”, afirmou o executivo da Check Point.

Padrão de comportamento

O vazamento ocorre num momento em que o iFood acumula questionamentos sobre transparência. Em 27 de maio, um dia antes de o caso vir à tona nos fóruns da dark web, a Secretaria Nacional do Consumidor abriu processo administrativo sancionador contra a plataforma por descumprimento da Portaria 61/2026, que obriga as empresas de delivery a informar aos consumidores quanto do valor pago vai para o entregador e quanto fica com a plataforma. A multa pode chegar a R$ 14 milhões.

O Instituto SIGILO, organização dedicada à defesa dos direitos de titulares de dados, anunciou que vai notificar formalmente a ANPD e avalia a propositura de Ação Civil Pública por danos morais coletivos, caso reste demonstrada negligência na proteção dos sistemas.

Resposta do iFood

Procurado, o iFood afirmou ao Times Brasil – Licenciado Exclusivo CNBC não ter encontrado qualquer evidência de que 43 milhões de dados haviam sido vazados e afirmou que o material disponibilizado na internet se refere a um incidente isolado de dezembro de 2025 e “rapidamente neutralizado pelos protocolos de segurança”. Segundo a plataforma, o evento envolveu apenas dados cadastrais como nome e CPF, sem comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de 2% da base de usuários.

Sobre a ausência de notificação à ANPD, o iFood afirmou que o incidente “foi tratado e avaliado em estrita conformidade com a legislação, que dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD”. A empresa disse ainda que todas as comunicações com usuários são feitas exclusivamente pelos canais oficiais da plataforma.

Allan Ravagnani

Siga o Times Brasil - Licenciado Exclusivo CNBC no