A plataforma iFood admitiu publicamente que dados de 1,2 milhão de usuários foram expostos após seis meses de identificação da falha. A confirmação veio após criminosos anunciarem a venda das informações na dark web, forçando a empresa a se manifestar sobre o vazamento.
Especialistas em cibersegurança apontam que a conduta da empresa viola a Lei Geral de Proteção de Dados (LGPD) e revela falha estrutural na segurança. Segundo um especialista, o cruzamento de histórico de endereços, telefones e CPFs permite golpes de engenharia social sofisticados, mesmo que senhas e dados bancários não tenham sido comprometidos.
O incidente, ocorrido em dezembro de 2025, teve origem em uma vulnerabilidade do tipo IDOR no Sistema iFood de Resposta às Autoridades (SIRA). A plataforma justificou a ausência de notificação à Autoridade Nacional de Proteção de Dados (ANPD) alegando que o evento não gerou risco relevante. No entanto, a ANPD cobrou explicações após a exposição pública do caso.
Além da questão da notificação, analistas apontam que a falha no SIRA, sistema que atende requisições judiciais, demonstra negligência. O executivo de segurança de uma empresa de tecnologia comentou que sistemas com acesso a dados sensíveis exigem controles robustos proporcionais ao risco, o que não ocorreu no caso.
