A million people already constitutes data on a large scale
Em dezembro de 2025, dados pessoais de 1,2 milhão de brasileiros foram expostos a partir de uma falha nos sistemas do iFood — um episódio que, como tantos outros na era digital, levanta questões que vão além da tecnologia: sobre a responsabilidade das empresas para com aqueles que lhes confiam informações íntimas, e sobre os limites entre o cumprimento formal da lei e a proteção genuína das pessoas. A empresa contesta a magnitude alegada pelos hackers, mas enfrenta o escrutínio de um órgão regulador que questiona se as obrigações legais de notificação foram honradas. O que está em jogo não é apenas a reputação de uma plataforma, mas a confiança que sustenta toda a economia de dados.
- Dados de 1,2 milhão de usuários — CPF, nome, e-mail e telefone — foram expostos em dezembro de 2025, enquanto hackers no BreachForums afirmam ter em mãos registros de 43,8 milhões de contas brasileiras.
- O iFood descartou a escala alegada pelos invasores, mas a contradição entre as versões cria uma zona de incerteza perigosa para os usuários afetados.
- A ANPD abriu investigação para apurar se a empresa violou a obrigação legal de notificar o incidente em até três dias úteis — prazo que o iFood afirma não ter sido acionado por considerar o risco insuficiente.
- Especialistas em privacidade rejeitam esse argumento: um vazamento envolvendo mais de um milhão de pessoas, com dados sensíveis como o CPF, configura risco relevante independentemente de danos já comprovados.
- Com senhas e dados financeiros intactos, o perigo imediato recai sobre golpes de engenharia social — mensagens fraudulentas no WhatsApp, SMS com links maliciosos e e-mails que imitam comunicações legítimas do iFood.
- Usuários estão expostos agora, enquanto o desfecho regulatório ainda se desenha — e a linha entre conformidade legal e responsabilidade real permanece contestada.
O iFood confirmou na quarta-feira que um vazamento de dados ocorrido em dezembro de 2025 expôs informações pessoais de 1,2 milhão de usuários — cerca de 2% de sua base de clientes. A empresa afirma ter contido rapidamente o incidente por meio de seus protocolos de segurança. Os dados comprometidos incluem nomes, CPFs, endereços de e-mail e números de telefone. Senhas, formas de pagamento e registros financeiros, segundo o iFood, não foram afetados.
Dias antes do comunicado oficial, um usuário do BreachForums — marketplace da dark web dedicado à compra e venda de dados roubados — alegou possuir registros de mais de 43,8 milhões de clientes brasileiros da plataforma. O iFood negou essa escala, descrevendo o episódio como isolado e já neutralizado. A distância entre as duas versões, porém, alimenta a desconfiança.
O ponto mais sensível do caso não está nos números, mas no silêncio institucional. O iFood não notificou a Autoridade Nacional de Proteção de Dados (ANPD), argumentando que o incidente não atingiu o limiar regulatório de risco relevante. A ANPD discorda: a lei brasileira exige notificação em até três dias úteis sempre que houver razoável possibilidade de dano aos titulares — e não apenas quando o dano já é certo. A agência já solicitou informações detalhadas à empresa.
Rafael Zanatta, codiretor da Data Privacy Brasil, foi direto: um vazamento que atinge mais de um milhão de pessoas, espalhadas por todo o território nacional, configura tratamento de dados em larga escala — e a obrigação de notificar era clara. O iFood insiste que agiu em estrita conformidade com a lei.
Para os usuários, o risco concreto está nos golpes que virão. Como senhas e dados financeiros não foram expostos, a ameaça principal é a engenharia social: mensagens no WhatsApp fingindo ser o iFood, SMS com links maliciosos, e-mails fraudulentos construídos com as informações vazadas. Os dados expostos são suficientes para tornar esses ataques convincentes. Especialistas recomendam atenção redobrada a qualquer contato não solicitado que peça informações ou contenha links.
iFood announced Wednesday that a data breach had exposed the personal information of 1.2 million users—roughly 2 percent of its customer base—contradicting claims made days earlier by someone on BreachForums, a dark web marketplace where stolen data is bought and sold, who said they possessed records belonging to more than 43 million Brazilian iFood customers.
The breach occurred in December 2025, according to the company, and was contained quickly through its security protocols. The exposed data included names, tax identification numbers (CPF), email addresses, and phone numbers. iFood stated that passwords, payment methods, and financial records were not compromised. In a written statement, the company said it found no evidence supporting the hacker's claim of 43.8 million affected accounts, describing the incident as isolated and rapidly neutralized.
What iFood did not do was notify Brazil's National Data Protection Agency (ANPD) about the breach. The company argued that the incident did not meet the regulatory threshold for notification because it posed no relevant risk or harm to users. That position has drawn scrutiny. The ANPD has already contacted iFood requesting detailed information about what happened, and the agency reminded the company that Brazilian data protection law requires notification within three business days of any security incident that could cause meaningful risk or damage to affected individuals.
The regulation does not require certainty about harm—only reasonable concern. The ANPD noted that companies must consider the nature of the data involved, the number of people affected, and potential consequences. Even when uncertainty exists about the full scope of damage, the agency said, companies must take preventive and protective measures and report accordingly.
Rafael Zanatta, co-director of Data Privacy Brasil, an advocacy organization, said the obligation to notify was clear. A million people constitutes data on a large scale, he explained, and iFood's presence across Brazil's entire territory strengthens the case for mandatory reporting. The company faces potential legal liability for failing to notify, he added. iFood maintains it acted in strict compliance with the law.
The practical danger to users lies elsewhere. Because passwords and payment information were not exposed, the primary risk comes from social engineering attacks—phishing campaigns, malicious links sent via SMS, and fraudulent messages impersonating iFood or other trusted entities. Zanatta warned users to watch carefully for unsolicited WhatsApp messages from unfamiliar accounts, suspicious emails, and text messages containing links or requests for information. The exposed personal details provide attackers with enough information to make such schemes convincing.
Citações Notáveis
There is little doubt about the obligation to communicate the incident. One million people affected already constitutes data on a large scale.— Rafael Zanatta, co-director of Data Privacy Brasil
Users need to be very alert to messages via WhatsApp from inauthentic accounts, fake emails, or SMS.— Rafael Zanatta, Data Privacy Brasil
A Conversa do Hearth Outra perspectiva sobre a história
Why would iFood claim the breach was smaller than what the hacker said? What's the incentive to downplay it?
The smaller the number, the lower the regulatory pressure and potential fines. If 1.2 million is 2 percent of their base, they're saying the damage is contained and manageable. A 43-million breach would be catastrophic for their reputation and their legal exposure.
But the hacker posted on a public forum. Couldn't iFood just verify the claim by checking their own systems?
They say they did—they ran analyses and found no evidence of 43 million records being stolen. The hacker might be bluffing, or selling a smaller dataset and inflating the numbers to drive up the price. It happens.
So why is the data protection agency pushing back on iFood's decision not to notify?
Because a million people is a lot of people, and the law doesn't require certainty of harm—just reasonable concern. iFood decided the risk was low because passwords weren't exposed. But the agency is saying that's not their call to make alone. The law says notify first, assess later.
What's the real danger to someone whose name and CPF got leaked?
Your CPF is like a social security number—it's the key to your identity in Brazil. Combined with your name, email, and phone, a criminal can impersonate you, open accounts, or run convincing phishing schemes. The biggest immediate threat is someone texting you pretending to be iFood, asking you to click a link or confirm your password.
Has iFood faced consequences yet?
Not yet. The ANPD is investigating whether they violated the three-day notification rule. If they did, there could be fines. But the investigation is just starting.