Um cibercriminoso anunciou, em fóruns da dark web, estar em posse de informações ligadas a um suposto vazamento de dados iFood, contendo registros de 43,8 milhões de usuários brasileiros — incluindo CPFs, nomes completos, e-mails, telefones e dados de cartão de crédito. A empresa negou o incidente, mas o caso voltou a colocar em pauta a segurança de dados em plataformas de alto volume transacional no Brasil. Neste artigo, a equipe Guias Expert analisa o que realmente aconteceu, os cenários possíveis e o que os usuários devem fazer agora.
Em 28 de maio de 2026, um usuário identificado como “bacen” publicou no BreachForums — principal fórum da dark web voltado à negociação de dados roubados — um anúncio afirmando ter em mãos 43.847.219 registros de clientes do iFood. O post incluía amostras com nomes, CPFs, endereços de e-mail, números de telefone e dados de cartão de crédito.
A publicação não se tratava de uma oferta convencional de venda. Era uma operação de extorsão do tipo pay-or-leak (pague ou vaze): o criminoso estipulou 10 de junho como prazo limite para que o iFood entrasse em contato, sob ameaça de liberar os dados progressivamente e elevar o preço a cada dia de atraso.
As amostras também continham credenciais de administradores do sistema, o que, se legítimo, indicaria acesso a diferentes camadas da infraestrutura da plataforma. Segundo especialistas em segurança ouvidos pela imprensa especializada, invasores em ataques de alto perfil podem permanecer invisíveis em ambientes corporativos por meses antes de anunciar o ataque — o estudo “Cost of a Data Breach 2025“, da IBM e do Instituto Ponemon, aponta que o tempo médio de permanência criminosa não detectada é de 229 dias.
O Posicionamento do iFood e o Estado Atual da Investigação
A empresa respondeu formalmente ao caso negando o vazamento de qualquer dado de usuário. Em nota, o iFood afirmou não ter encontrado evidências de comprometimento em seus sistemas e acrescentou que não houve comprometimento de senhas, meios de pagamento ou dados financeiros de usuários e parceiros. A empresa confirmou que seus protocolos de segurança foram acionados e que a investigação está em andamento, em conformidade com a Lei Geral de Proteção de Dados (LGPD).
Vale observar um detalhe técnico relevante: o aplicativo do iFood não transfere dados de cartão de crédito entre dispositivos ao fazer login em um aparelho novo. Isso sugere que a plataforma não armazena esses dados de forma centralizada e acessível, o que torna a afirmação sobre cartões uma possível exageração da parte do criminoso — ou um blefe intencional para amplificar a pressão sobre a empresa.
A investigação, no entanto, ainda está em andamento. Os próximos dias serão determinantes para confirmar ou refutar a dimensão real do incidente.
💡 DICA GUIAS EXPERT:
Se você usa o iFood, verifique seu e-mail cadastrado no serviço Have I Been Pwned (haveibeenpwned.com). Esse site gratuito monitora bancos de dados comprometidos e alerta se seu e-mail aparece em algum vazamento confirmado, inclusive os mais recentes.
Os 3 Cenários Possíveis: Invasão Real, Reaproveitamento ou Farsa
A equipe editorial analisou os três caminhos que especialistas têm discutido para explicar o anúncio criminoso.
Cenário 1: Invasão Silenciosa com Credenciais Legítimas
Neste cenário, o criminoso teria obtido acesso ao sistema usando credenciais válidas de algum colaborador ou parceiro — por phishing, compra em fóruns ou outros meios. Com credenciais legítimas, um invasor pode navegar pelos sistemas internos de uma empresa por semanas ou meses sem acionar alertas, coletando dados em volume gradualmente para reduzir o risco de detecção.
Esse tipo de ataque é chamado de “invasão silenciosa” e tem precedentes documentados em empresas brasileiras de grande porte. A janela de longa duração é justamente o que permite a extração de bases massivas como a que foi anunciada.
Cenário 2: Reaproveitamento de Dados de Vazamentos Anteriores
Uma prática comum no cibercrime é reembalar conjuntos antigos de dados — de outros vazamentos, inclusive de terceiros com quem a empresa alvo manteve relações comerciais — e apresentá-los como se fossem frescos. Esse reaproveitamento serve tanto como porta de entrada para novos crimes quanto como forma de ganhar reputação em fóruns especializados.
No BreachForums, usuários que tentam revender dados de terceiros se arriscam a ser identificados e banidos por fraude. Ainda assim, a prática existe e é conhecida. O histórico do iFood nos últimos anos não registra vazamentos confirmados desta escala, o que torna esse cenário plausível.
Cenário 3: Extorsão com Dados Fabricados ou Parcialmente Falsos
O terceiro caminho é simplesmente a farsa. Criminosos podem montar amostras convincentes com dados reais de pessoas — obtidos de outros bancos de dados públicos ou comprometidos — e apresentá-los como prova de um ataque que nunca aconteceu. A intenção é aproveitar a repercussão nas redes sociais e pressionar a empresa a pagar sem que haja uma violação real.
Dados apresentados como amostra podem ser legítimos, pertencendo a pessoas reais, sem qualquer relação direta com a plataforma supostamente atacada. Casos como esses são investigados e, quando descobertos, resultam no banimento permanente do usuário dos fóruns criminosos.
Implicações Regulatórias: LGPD e ANPD Entram no Radar
Do ponto de vista legal, caso o vazamento seja confirmado, as consequências para o iFood seriam severas. A LGPD — Lei Geral de Proteção de Dados (Lei nº 13.709/2018) — prevê multas de até 2% do faturamento bruto da organização no Brasil, limitadas a R$ 50 milhões por infração.
Além das sanções financeiras da ANPD (Autoridade Nacional de Proteção de Dados), a empresa ainda estaria sujeita a ações civis movidas pelos usuários cujos dados fossem expostos. Um vazamento envolvendo CPFs vinculados a dados financeiros e de contato cria condições ideais para fraudes de identidade em larga escala, phishing direcionado e ataques de smishing via SMS — riscos que afetariam diretamente dezenas de milhões de brasileiros.
A LGPD exige que empresas comuniquem incidentes de segurança à ANPD em prazo razoável. Caso o iFood conclua que houve comprometimento de dados, a notificação aos usuários afetados também se tornaria obrigatória.
O Que Fazer Agora: Checklist Para Usuários do iFood
Independentemente do resultado da investigação, o episódio é um alerta prático. A equipe Guias Expert recomenda as seguintes ações imediatas:
- Troque a senha do iFood — use uma combinação forte e única, não compartilhada com outros serviços.
- Ative a verificação em dois fatores caso o aplicativo suporte essa funcionalidade.
- Verifique suas transações — cheque o histórico de pedidos e pagamentos por movimentações desconhecidas.
- Monitore seu CPF — o Serasa e o Registrato (Banco Central) permitem verificar se seu CPF está sendo usado em consultas ou operações não autorizadas.
- Desconfie de e-mails e SMS — após um suposto vazamento, ataques de phishing direcionados aumentam significativamente. Nunca clique em links recebidos por mensagem alegando ser do iFood.
- Consulte o Have I Been Pwned — insira seu e-mail em haveibeenpwned.com para verificar se ele aparece em bancos de dados comprometidos.
Conclusão
O suposto vazamento de dados do iFood ainda não foi confirmado, mas os riscos envolvidos — 43,8 milhões de registros com CPFs e dados de contato — colocam o caso entre os potencialmente mais graves já registrados no Brasil. A empresa nega o incidente e segue investigando, mas usuários não devem esperar o resultado para tomar medidas preventivas.
Você já verificou se seus dados aparecem em algum vazamento? Compartilhe nos comentários o que pensa sobre a segurança das plataformas de delivery no Brasil.