1,2 milhão de pessoas. Esse é o número de usuários do iFood cujos dados cadastrais foram vazados, segundo confirmação da própria empresa. O valor corresponde a cerca de 2% da base de clientes da plataforma — uma fração que, em números absolutos, é uma cidade inteira de gente exposta.
A confirmação não veio espontaneamente. Ela foi uma resposta a um susto maior: um usuário do BreachForums — fórum da dark web onde se compra e vende dados roubados — anunciou que possuía informações de mais de 43,84 milhões de clientes brasileiros do iFood. A empresa negou a cifra dos 43 milhões, mas, ao investigar, confirmou o vazamento dos 1,2 milhão.
O que exatamente vazou
A boa notícia, dentro da má, é que o vazamento foi limitado a dados cadastrais básicos. Veja o que foi e o que não foi exposto:
| Dado | Foi exposto? |
|---|---|
| Nome completo | Sim |
| CPF | Sim |
| Senha | Não |
| Meios de pagamento / cartão | Não |
| Dados bancários | Não |
| Histórico de pedidos / transações | Não |
Segundo o iFood, os dados expostos vêm de um incidente isolado de dezembro de 2025, que teria sido contido rapidamente pelos sistemas de segurança. Ou seja: o vazamento é antigo, mas só veio a público agora, quando os dados apareceram à venda na dark web.
O risco real: golpe, não roubo direto
Com nome e CPF, um criminoso não consegue acessar sua conta, fazer pedidos no seu nome ou movimentar seu dinheiro — para isso precisaria de senha e dados de pagamento, que não vazaram. O risco é outro, e mais sutil: a engenharia social.
De posse do seu nome e CPF, golpistas podem montar abordagens convincentes. Um falso atendente que liga dizendo seu nome e CPF corretos parece legítimo — e é assim que muita gente cai em golpes do tipo "sua conta foi invadida, confirme seus dados". O vazamento não rouba seu dinheiro; ele dá munição para quem vai tentar te enganar.
O que fazer se você é usuário do iFood
- Troque a senha do iFood por precaução — e não reutilize essa senha em outros serviços
- Ative a verificação em duas etapas onde for possível
- Desconfie de ligações e mensagens que citem seu nome e CPF "para confirmar" — empresas sérias não pedem senha nem código por telefone
- Nunca clique em links de SMS ou e-mail dizendo que sua conta foi bloqueada; acesse o app oficial diretamente
- Monitore seu CPF em serviços de proteção (Serasa, SPC) para detectar uso indevido
A LGPD entra em ação
O caso será analisado pela ANPD (Autoridade Nacional de Proteção de Dados), à luz da LGPD (Lei Geral de Proteção de Dados). Pela lei, empresas que sofrem vazamentos são obrigadas a comunicar o incidente à autoridade e aos usuários afetados, e podem ser multadas se houver negligência na proteção dos dados — a multa pode chegar a 2% do faturamento, limitada a R$ 50 milhões por infração.
Esse episódio se soma a um debate maior que ganha força no Brasil. A discussão sobre dados pessoais e IA nas eleições e o Marco Legal da Inteligência Artificial mostram que a proteção de dados deixou de ser tema técnico para virar questão central da vida digital. Cada vazamento reforça que, na economia dos aplicativos, o usuário entrega seus dados em troca de conveniência — e nem sempre sabe o que acontece com eles depois.
O recado final é de vigilância, não de pânico. Seu dinheiro no iFood está seguro. Mas seu nome e CPF agora circulam por aí — e em 2026, isso significa estar mais atento do que nunca a quem liga, manda mensagem ou pede para "confirmar seus dados". Na dúvida, desligue e procure o canal oficial. O golpista conta com a sua pressa; a defesa é a calma.