iFood confirma vazamento de dados de 1,2 milhão de clientes, mas incidente pode ser ainda maior

Exclusivamente ao TecMundo, iFood confirma um vazamento de dados de pelo menos 1,2 milhão de usuários. Segundo a empresa, o material recentemente anunciado por criminosos é derivado de um incidente interno ocorrido em dezembro de 2025, mas que ainda não havia sido revelado. O anúncio ocorre após a investigação contínua da redação, conduzida independentemente com o apoio de fontes anônimas. Dados financeiros de clientes e funcionários não foram expostos.

Contextualizando, o atual caso do iFood se iniciou ainda na última quinta-feira (28), quando o usuário “bacen” anunciou o vazamento com dados de 43,8 milhões de clientes da plataforma. Na ocasião, apenas dois arquivos de amostras foram compartilhados e, após a análise da redação, o TecMundo não encontrou evidências que corroborassem as afirmações.

Originalmente publicadas no serviço Paste.sh, as amostras iniciais não possuíam metadados, mas apenas as linhas de texto – dessa maneira, não foi possível estimar uma data para o vazamento. Similarmente, a amostragem pequena não permitiu confirmar a extensão potencial do vazamento, mas somente visualizar que tipo de dado poderia ter sido obtido nele. 

Certamente, as amostras exibiam e-mails e dados pessoais legítimos, mas ainda não era possível comprovar a ligação com o iFood e nem a dimensão real do vazamento. Na tentativa de entender melhor o caso, o TecMundo também entrou em contato com os criminosos, mas não obteve sucesso, até aquele momento.

Na sexta-feira (29), a reportagem do TecMundo trouxe a apuração dos fatos apresentados, junto do posicionamento do iFood – que negava ter encontrado qualquer indício de invasão recente. Após a repercussão da reportagem, um dos autores do vazamento respondeu ao TecMundo. Seu apelido é “Harold Baker”, sendo o responsável pelo contato e divulgação do grupo. O cibercriminoso contextualizou o que teria sido o bastidor do incidente, além de enviar mais três arquivos para a análise interna.

Diferente das amostras públicas, os arquivos possuem uma estrutura padronizada e comprovam um incidente de maior proporção. Protocolarmente, todo material recebido pelo TecMundo também é compartilhado com as empresas afetadas, em um viés de transparência com as investigações. Por meio desses novos documentos, o iFood afirmou ter identificado a origem do vazamento e sua extensão.

Na madrugada de hoje (3), Harold compartilhou novas informações com o TecMundo. Ele nega as citações do iFood, afirmando se tratar de outro vazamento de dados e alega já ter recebido arquivos com informações de pelo menos quatro milhões de usuários. Apesar do relato, a redação não recebeu novas evidências para sustentar as alegações.

Origem do vazamento teria sido falha em sistema de apoio do iFood

Ao TecMundo, ainda na última sexta-feira (29), o criminoso afirmou que a origem do vazamento teria sido o Sistema iFood de Resposta às Autoridades (SIRA). Trata-se de um portal dedicado da empresa para responder solicitações judiciais, administrativas ou de vigilância sanitária. Nela, uma falha não documentada teria permitido a extração gradual dos dados de clientes, de modo a minimizar atividades suspeitas e não alertar os sistemas de segurança.

Segundo o criminoso, a falha em questão seria do tipo IDOR – ou Referência Direta Insegura a Objetos, em português. Simplificando a grosso modo, isso significa que quando um usuário faz uma solicitação para uma certa parte do sistema, ele não verifica suas credenciais antes de entregar a resposta.

Na prática, essa vulnerabilidade poderia ser comparada ao seguinte cenário: um funcionário com o maior nível de acesso em um setor da empresa, mas que conta segredos internos para qualquer pessoa que o perguntar. A falha em questão não é novidade para quem acompanha o TecMundo. Ela já apareceu em outros vazamentos de grande impacto aos usuários, incluindo o caso do aplicativo Sapphos, a falha na plataforma da Estácio e também no site da CEMIG.

Em mais detalhes, Harold explica que a falha foi identificada utilizando “o acesso de uma conta da polícia” que teria sido comprometido. Adiante, ele comenta que a vulnerabilidade foi explorada por aproximadamente três meses – uma operação com motivação exclusivamente financeira.

Assim como na publicação original, feita em um fórum ilegal, o criminoso reitera ao TecMundo que foi possível extrair “informações de mais de 40 milhões de clientes da plataforma”. No entanto, embora os arquivos enviados atestem o potencial da falha IDOR, ainda não há evidências diretas que comprovem o número informado pelo agente de ameaça.

TecMundo analisa arquivos exclusivos do vazamento do iFood

No material exclusivo enviado ao TecMundo, o cibercriminoso compartilhou três arquivos para comprovar suas alegações – sendo eles “admin.txt”, “sample.txt” e “response.json”. Como mencionado anteriormente, os novos documentos possuem uma estrutura de dados padronizada, algo bem diferente das amostras iniciais.

Para melhor contextualizar, as primeiras amostras compartilhadas na publicação de “bacen” trazem um conjunto bastante limitado de dados. Nelas, é possível conferir dois conjuntos de informações, sendo um para administradores e outro para clientes. Embora sejam um indicativo de autenticidade, a pequena amostragem não permitiu uma análise mais aprofundada.

Abaixo, o TecMundo compartilha a análise de cada arquivo exclusivo que foi compartilhado com a redação.

Primeiro arquivo: “admin.txt”

No primeiro arquivo, “admin.txt”, há uma listagem com dados de pelo menos 35 pessoas – incluindo ID de usuário, Nome, E-mail, Departamento, Função, Número da OAB e Estado de Atividade. De imediato, este conjunto possui informações condizentes com a natureza de operação do Sistema iFood de Resposta às Autoridades (SIRA).

Neste arquivo, ainda há destaque para o usuário System, que possui um número próprio de ID e um e-mail o relacionando diretamente com o time de tecnologia do iFood. Além disso, há outros domínios ligados à empresa: @ifood.com.br e @ifood3rd.com (colaboradores terceirizados).

O que está exposto em “admin.txt”, em 35 ocorrências

• Identificador único do usuário (ID interno);
• Nome completo do usuário;
• Endereço de e-mail corporativo;
• Departamento ou área de atuação dentro da organização;
• Nível de acesso ou função na plataforma (administrador);
• Status da conta (ativa ou inativa);
• Configurações internas da conta relacionadas a processos de requisição;
• Metadados administrativos associados ao perfil do usuário;
• Documentos anexados ao registro analisado;
• Dados complementares preenchidos no perfil;
• Número de registro da OAB associado ao usuário.

Segundo arquivo: “response.json”

Em “response.json”, há uma estrutura bastante similar à de “admin.txt”, porém, com muitos outros usuários afetados. Há pelo menos 24 mil IDs no arquivo, que possuem e-mails e outras informações correspondentes. São funcionários da Polícia Federal, Polícia Civil de diversos Estados, Ministério Público, Judiciário Estadual, Tribunais Regionais do Trabalho, Tribunais Federais e Superiores, Defensorias Públicas, Polícia Militar e órgãos municipais. Mais uma vez, a abrangência de entidades oficiais  corresponde com os utilizados em um sistema como o SIRA, corroborando as alegações do criminoso.

Além disso, há a presença do mesmo ID para o “System”, sendo também o único que possui a chave para “easyRequisition” ativada – possivelmente um sistema de aprovação automatizado. Essa evidência sugere que ambos os arquivos nasceram do mesmo banco de dados, derivados da mesma conta de serviço interna.

O que está exposto em “response.json”, em 24 mil ocorrências

• Identificador único do usuário (ID interno);
• Nome completo do usuário;
• Endereço de e-mail institucional vinculado a órgão público;
• Departamento ou área de atuação cadastrada na plataforma;
• Perfil de acesso com nível de autoridade (“authority”);
• Status da conta (ativa);
• Configurações internas relacionadas a processos de requisição;
• Metadados administrativos associados ao perfil do usuário;
• Número de registro da OAB vinculado ao cadastro;
• Informações complementares preenchidas no perfil;
• Documentos ou arquivos anexados ao registro analisado.

Terceiro arquivo: “sample.txt”

No arquivo “sample.txt”, há o conjunto mais complexo de informações. Ele traz uma espécie de “dossiê” de pelo menos quatro usuários, incluindo dados pessoais identificáveis de cada um. Nessa estrutura, ainda é possível verificar todos os cartões de créditos registrados, parcialmente censurados, mas sem datas de validade ou códigos de autorização. Além disso, também é exibido quando ocorreu o cadastro da conta na plataforma e quando cada endereço de entrega foi registrado.

Entre os três arquivos, “sample.txt” é o que detalha o quão danoso poderia ser o vazamento do iFood, ainda que não confirme sua extensão. A partir dos dados abaixo, criminosos poderiam aplicar golpes específicos tanto na internet quanto fisicamente, já que possuiriam informações suficientes para “perseguir” as vítimas de sua preferência.

A exemplo de um cenário de golpe, é possível citar a tentativa de fraude via ligação. Com nome completo dos usuários, CPF, e histórico de endereços, um criminoso não teria dificuldades em se passar por um funcionário do iFood para confirmar dados cadastrais. Em poucos passos, seria possível obter todas as informações “em falta” no atual vazamento.

O que está exposto em “sample.txt”, em quatro ocorrências

• Identificador único da conta do cliente;
• Categoria do cadastro na plataforma;
• CPF do cliente;
• Nome completo do cliente;
• Número de telefone do cliente;
• Endereço de e-mail do cliente;
• Data de cadastro ou registro da conta;
• Lista de cartões de pagamento parcialmente mascarados vinculados à conta;
• CPFs associados a pedidos ou transações realizadas na plataforma;
• Histórico de endereços de entrega cadastrados.

Em relação aos endereços de entrega, a amostra indica a exposição de:

• País, estado, cidade e bairro;
• Logradouro e número do imóvel;
• CEP cadastrado;
• Complementos de endereço;
• Pontos de referência utilizados para entregas;
• Datas de criação dos registros de endereço.

Dados pessoais são valiosos para criminosos, mas são diferentes de dados sensíveis

Tradicionalmente, é comum que os termos “dados pessoais” e “dados sensíveis” sejam utilizados como sinônimos na cobertura jornalística. No entanto, vale esclarecer que, segundo a Lei Geral de Proteção de Dados (LGPD), os termos representam conjuntos diferentes de informações sobre um indivíduo.

Em resumo, os dados pessoais identificáveis (PII, na sigla em inglês) são basicamente informações que permitem identificar uma pessoa natural, direta ou indiretamente. Essas informações podem ser documentos, e-mails, endereços, dados de localização e mais – na prática, tudo que foi vazado no caso do iFood.

Por outro lado, os dados sensíveis são parte de uma categoria especial, que recebe proteção redobrada devido ao potencial de discriminação ou prejuízo ao titular. Eles tratam de informações como origem racial ou étnica, convicção religiosa ou opinião política, além de dados biométricos ou de saúde. Neste caso, se enquadram as imagens para reconhecimento facial e resultados de exames médicos, por exemplo.

Embora pareça apenas uma distinção técnica, essas características ajudam a dimensionar o dano potencial e imediato de um vazamento. No caso do iFood, há apenas dados pessoais em ameaça – contudo, a precisão e profundidade do caso o torna muito mais grave. Além de possibilitar golpes mais comuns, esse conjunto também facilita o cruzamento de informações com outros vazamentos de dados – e, por consequência, a obtenção de dados sensíveis de cada vítima.

Vazamento confirmado pelo iFood afeta 2% da base de clientes, cerca de 1,2 milhão de usuários

Nesta terça-feira (2), o iFood confirmou um vazamento de dados, que teria afetado cerca de 2% de toda sua base de clientes. Segundo os dados oficiais da plataforma, em outras palavras, esse número representa aproximadamente 1,2 milhão de usuários. No entanto, as circunstâncias e contexto do incidente não foram inteiramente explicados pela empresa – além de terem sido diretamente negados pelos agentes de ameaça do atual caso.

Após receber o material enviado pelo TecMundo, o iFood afirmou que o vazamento de dados anunciado por “bacen” na última quinta-feira (28), na verdade, teria ocorrido em dezembro de 2025. Sem detalhes, a empresa apenas afirmou que se tratou de um “incidente isolado”, que teria sido “rapidamente neutralizado” pelos seus protocolos de segurança.

Supostamente obtido nessa ocasião, o material não teria sido divulgado pelos criminosos até então. Ao TecMundo, o iFood afirma: “O evento [ocorrido em dezembro de 2025] envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros”.

Narrativas conflitantes

Contudo, a citação do iFood contesta diretamente o relato apresentado por Harold Baker, que também compartilhou as evidências exclusivas de invasão com o TecMundo. No segundo contato com a redação, ocorrido na madrugada de hoje (3), ele afirma que o vazamento de dados confirmado pela empresa é outro e não possui relação com o anunciado pelo seu grupo.

Conforme mencionado anteriormente, o criminoso ainda afirma ter recebido arquivos com dados de quatro milhões de usuários de seu sócio. De imediato, ele sugere que a existência desse documento já comprova que se trata de outro incidente cibernético. Ainda nesse contexto, também comenta que não “faria sentido extrair apenas 1,2 milhão de dados durante três meses”.

Para ambos os casos, até o momento, o TecMundo não encontrou evidências físicas e independentemente apuradas que comprovem qualquer um dos números – seja os 1,2 milhão citados pelo iFood ou os 43,8 milhões citados pelos criminosos.

Posicionamento oficial do iFood

Abaixo, você lê o posicionamento oficial do iFood sobre o caso, enviado exclusivamente ao TecMundo nesta terça-feira (2):

• “O iFood não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados. Após sucessivas análises, identificamos que o material disponibilizado na internet se refere a um incidente isolado, ocorrido em dezembro de 2025, e que foi rapidamente neutralizado pelos nossos protocolos de segurança. O evento envolveu dados cadastrais, como nome e CPF, sem qualquer comprometimento de senhas, meios de pagamento ou registros financeiros, com impacto restrito a cerca de  2% da nossa base de usuários.

  O iFood lamenta o ocorrido e reforça para os usuários que todas as comunicações são feitas somente pelos canais oficiais da plataforma. A segurança da nossa comunidade é prioridade e seguimos atuando em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD) para aprimorar constantemente nossos sistemas.”

Prazo para exposição do vazamento do iFood está próximo

Na publicação inicial, o criminoso “bacen” estipulou o prazo para encerrar as negociações com o iFood no próximo dia 10 de junho. Em seu texto há um tom de urgência, frequentemente utilizado como alavanca emocional para facilitar a extorsão.

Até o momento, não há mais informações de acordo entre as partes, nem mesmo valores definidos publicamente para um possível “resgate” dos dados. Ao TecMundo, Harold afirma que nenhum dado foi efetivamente vazado até o momento, além das amostras públicas.

Tipicamente, quando não há sucesso nas negociações, é comum que cibercriminosos divulguem o material obtido ou tentem vendê-lo para entidades privadas. O TecMundo atualizará a reportagem diante do surgimento de novas informações.

• Reportagem em andamento…