iFood confirma vazamento de dados de 1,2 milhão de usuários; ANPD solicita esclarecimentos

<p>O iFood, maior plataforma de delivery do Brasil, confirmou em junho de 2026 um incidente de segurança que expôs dados cadastrais de aproximadamente <strong>1,2 milhão de usuários</strong> — cerca de 2% de sua base ativa.</p><p>O incidente ocorreu em <strong>dezembro de 2025</strong>, segundo a empresa, e foi rapidamente contido. A falha explorada foi do tipo <strong>IDOR (Insecure Direct Object Reference)</strong>: ao alterar um parâmetro na URL da API, era possível acessar registros cadastrais de outros usuários sem autenticação adicional. Dados expostos incluem nome e CPF; senhas, métodos de pagamento e informações financeiras não foram comprometidos, segundo o iFood.</p><p>A <strong>Autoridade Nacional de Proteção de Dados (ANPD)</strong> notificou formalmente a empresa para prestar esclarecimentos sobre o incidente e, principalmente, sobre a decisão de não notificar a autoridade na época — a empresa alegou que "não havia risco relevante" a ser comunicado. A omissão pode configurar infração à LGPD, que exige notificação de incidentes com potencial dano relevante.</p><p>Atores maliciosos chegaram a afirmar em fóruns como BreachForums ter acesso a 43,8 milhões de registros de usuários iFood, alegação que a empresa nega, mantendo o número de 1,2 milhão.</p>