O iFood informou que identificou, em dezembro de 2025, um incidente de segurança da informação que resultou no acesso não autorizado a dados cadastrais de uma parcela limitada de seus usuários. Segundo o comunicado divulgado pela empresa, o episódio afetou aproximadamente 2% da base de usuários e não comprometeu senhas, dados de pagamento ou a continuidade dos serviços da plataforma.
Acesso ocorreu por meio de credenciais de órgão externo
De acordo com a companhia, o acesso indevido ocorreu por meio de credenciais vinculadas a um órgão externo, que teriam sido comprometidas fora dos sistemas do iFood. A plataforma afirma que terceiros não autorizados utilizaram essas credenciais para acessar um portal de uso restrito.
O iFood declarou que o incidente foi detectado, contido e remediado, com o bloqueio do acesso utilizado e o reforço das medidas de segurança. A empresa também garantiu ter preservado os registros necessários para a investigação do caso e que continua colaborando com a Autoridade Nacional de Proteção de Dados (ANPD).
Dados expostos eram de natureza cadastral
Segundo a companhia, os dados acessados possuem natureza cadastral. O comunicado reiterou que não houve acesso a senhas, credenciais de acesso às contas, dados pessoais sensíveis ou informações de pagamento que permitissem a realização de transações.
A avaliação técnica realizada pelo iFood, conforme informado pela empresa, não identificou risco de dano relevante aos titulares dos dados. A companhia afirma que, com base nas análises realizadas até o momento, não há indicação de necessidade de troca de senhas ou adoção de medidas adicionais por parte dos usuários em decorrência do incidente.
Empresa nega vazamento de 43 milhões de dados
No FAQ divulgado junto ao comunicado, o iFood também negou informações sobre um suposto vazamento de 43 milhões de dados. Segundo a empresa, a investigação conduzida sobre o incidente de dezembro de 2025 não encontrou evidências dessa exposição e apontou que o caso foi isolado, com impacto restrito a um percentual mínimo da base de usuários.
Orientações aos usuários
Em nota, o iFood afirmou manter um programa de governança em privacidade e proteção de dados alinhado à Lei Geral de Proteção de Dados (LGPD) e às diretrizes da ANPD. A empresa também alertou usuários para que desconfiem de contatos que solicitem senhas, códigos de verificação ou dados de cartão por telefone, e-mail, SMS ou aplicativos de mensagens, ressaltando que esse tipo de informação não é solicitado pelos seus canais oficiais.
Para informações, a empresa reforça que são válidos os canais oficiais de comunicação e o Portal de Privacidade.
