O iFood confirmou ter sido alvo de um vazamento de dados que expôs informações de aproximadamente 1,2 milhão de clientes — cerca de 2% da sua base de usuários. O incidente havia sido divulgado inicialmente por um usuário em fórum no fim de maio e, em um primeiro momento, foi negado pela empresa; só após a apuração e a apresentação de evidências por veículos de tecnologia a companhia reconheceu o problema. O caso reacende o debate sobre a segurança dos dados pessoais nas mãos das grandes plataformas digitais brasileiras.
De acordo com o iFood, os dados expostos são de natureza cadastral: nome, CPF, e-mail, telefone e endereço de entrega, além de informações parcialmente mascaradas de cartão. A empresa fez questão de destacar que senhas, meios de pagamento e registros financeiros não foram comprometidos. Ainda assim, o conjunto de informações vazado é sensível o bastante para alimentar golpes de engenharia social — em que criminosos usam dados verdadeiros para parecer legítimos e convencer a vítima a entregar senhas, códigos ou fazer transferências.
Há divergência sobre a real dimensão do incidente. Enquanto o iFood fala em 1,2 milhão de afetados, os responsáveis pelo ataque chegaram a alegar números muito maiores, na casa das dezenas de milhões de registros — alegação que, até o momento, não foi confirmada de forma independente. As investigações apontam que a brecha teria origem em uma vulnerabilidade do tipo IDOR, que permite acessar dados de outros usuários manipulando referências diretas em um sistema interno, e que a exploração pode ter ocorrido ao longo de meses.
Para o consumidor, o episódio serve de lembrete sobre cuidados básicos de segurança digital, especialmente em um país onde aplicativos de delivery fazem parte da rotina de milhões de pessoas. A recomendação é redobrar a atenção com mensagens e ligações suspeitas que mencionem seus dados, ativar a verificação em duas etapas sempre que disponível e desconfiar de qualquer contato que peça senhas ou códigos. Vazamentos de cadastro como este não dão acesso direto à conta, mas tornam tentativas de fraude muito mais convincentes.
