iFood admite vazamento de dados de 1,2 milhão de usuários

Vazamento de Dados do iFood: Entenda o Incidente

No dia 3 de junho de 2026, o iFood confirmou que um cibercriminoso acessou indevidamente dados de aproximadamente 1,2 milhão de usuários em dezembro de 2025. A invasão ocorreu por meio de uma falha no sistema corporativo SIRA, utilizado para atender solicitações judiciais e administrativas. O incidente veio à tona após o criminoso anunciar um suposto vazamento de 43,8 milhões de registros em um fórum da dark web, revelando vulnerabilidades críticas em sistemas sensíveis e levantando questões sobre a conformidade com a LGPD nas plataformas digitais brasileiras.

Esse vazamento é considerado um dos mais significativos em cibersegurança no Brasil em 2026, afetando uma parcela considerável da base de usuários do iFood. A falha ocorreu em um sistema que não era auditado com a mesma frequência que a base de dados principal, o que contribuiu para a gravidade do incidente.

Como o Ataque Aconteceu

Em 28 de maio de 2026, um cibercriminoso conhecido como ‘bacen’ anunciou em um fórum da dark web que possuía dados de 43,8 milhões de usuários do iFood. Embora a empresa tenha negado essa quantidade, confirmou o vazamento de dados de cerca de 1,2 milhão de pessoas, representando aproximadamente 2% de sua base total.

A origem do ataque está no SIRA, um sistema interno criado para atender solicitações de órgãos públicos. O criminoso teria explorado uma conta vinculada à polícia para identificar a vulnerabilidade e extrair dados de forma gradual, evitando acionar os sistemas de monitoramento da empresa. O incidente, que ocorreu em dezembro de 2025, só foi revelado publicamente seis meses depois, quando o criminoso tentou extorquir a empresa com as informações obtidas.

O Que Foi e o Que Não Foi Comprometido

O iFood assegurou que senhas, números de cartões de crédito e dados financeiros não foram expostos. No entanto, os dados comprometidos, como nomes, CPFs e endereços de e-mail, podem facilitar fraudes. O risco imediato para os usuários inclui ataques de phishing e engenharia social, onde criminosos podem usar essas informações para criar comunicações falsas e induzir vítimas a fornecer dados sensíveis.

Implicações para o Setor de TI e Conformidade com a LGPD

O vazamento de dados do iFood tem implicações significativas para a conformidade de grandes empresas com a Lei Geral de Proteção de Dados (LGPD). A legislação exige que incidentes de segurança sejam notificados à Autoridade Nacional de Proteção de Dados (ANPD) em um prazo razoável. Com o incidente ocorrido em dezembro de 2025 e revelado apenas em junho de 2026, a empresa pode enfrentar questionamentos sobre sua transparência.

Usuários já estão buscando esclarecimentos junto à ANPD, e essa pressão regulatória tende a aumentar à medida que mais pessoas tomam conhecimento do caso. Para os diretores de TI, o incidente serve como um alerta sobre a necessidade de atenção a vetores de ataque menos visíveis, como portais de obrigações legais e integrações com órgãos públicos.

Lições Práticas para Líderes de Cibersegurança

O incidente do iFood destaca a urgência de auditorias em todos os pontos de integração de APIs, não apenas nos sistemas mais visíveis. O controle rigoroso de permissões de acesso é crucial, especialmente para contas vinculadas a órgãos externos, que devem ter escopos de acesso mínimos e monitoramento de comportamentos anômalos.

A segregação de ambientes e o monitoramento contínuo de fornecedores também são medidas essenciais. Em um ecossistema corporativo interconectado, a segurança de uma organização depende da robustez de todas as suas integrações. O vazamento de dados do iFood não é apenas um problema isolado, mas um indicativo da necessidade de uma abordagem de segurança que acompanhe a complexidade das operações digitais.

Fonte por: Its Show