Exposição de Dados do iFood
Um período de seis meses foi necessário entre quando o iFood detectou uma falha em seus sistemas e o momento em que a empresa admitiu publicamente que os dados de 1,2 milhão de usuários haviam sido comprometidos. Essa confirmação ocorreu após criminosos anunciarem a venda das informações em fóruns da dark web, resultando na necessidade de a plataforma romper o silêncio a respeito do incidente.
Especialistas em cibersegurança e direito digital, consultados pelo Times Brasil – Licenciado Exclusivo CNBC, apontaram que a postura da empresa contraria a LGPD e revela uma fragilidade estrutural na cultura de segurança da organização.
Marco Zanini, CEO da DINAMO Networks, uma referência em segurança digital e criptografia no Brasil, ponderou: “A alegação de que não houve vazamento de dados bancários ou senhas para descaracterizar o risco é falha. O cruzamento de histórico de endereços, telefones e CPFs viabiliza golpes de engenharia social altamente refinados, como falsos motoboys, falsas confirmações de compras e golpes de atualização de cadastro. A escala de 1,2 milhão de pessoas afetadas, por si só, já caracteriza um impacto de grande escala, tornando a dispensa de notificação um posicionamento juridicamente frágil.”
Ocorrência da Falha
O incidente teve início em dezembro de 2025. De acordo com investigação do TecMundo, a origem da vulnerabilidade foi identificada como um tipo de falha conhecido como IDOR no Sistema iFood de Resposta às Autoridades (SIRA).
IDOR: Tipo de vulnerabilidade em que um usuário consegue acessar dados de outros usuários alterando simplesmente parâmetros de uma requisição, sem que o sistema verifique se ele possui autorização para acessar essas informações específicas.
O SIRA é um portal interno utilizado para atender demandas judiciais, administrativas e de órgãos de segurança pública. Segundo um dos criminosos, identificado como “Harold Baker”, uma conta policial teve seu acesso comprometido, permitindo que os dados fossem extraídos gradualmente ao longo de cerca de três meses para evitar disparar alertas em sistemas de monitoramento.
O contexto do vazamento veio à tona em 28 de maio de 2026, quando um usuário identificado como “bacen” revelou no BreachForums ter acesso a 43,8 milhões de registros de clientes brasileiros do iFood, estipulando um prazo até 10 de junho para que a empresa pagasse um resgate.
Breach Forums: Fórum na dark web focado na compra e venda de dados roubados, frequentado por grupos que realizam ataques cibernéticos.
Inicialmente, o iFood negou qualquer invasão. Contudo, após a divulgação de novos arquivos, a empresa reconheceu a falha de segurança em 3 de junho e confirmou que 1,2 milhão de usuários tiveram seus nomes e CPFs expostos.
A organização negou que os 43,8 milhões de registros mencionados pelos criminosos tivessem sido comprometidos e declarou que senhas, dados bancários e informações de pagamento não foram afetados.
Silêncio Não Justificado
O iFood justificou a falta de notificação à Autoridade Nacional de Proteção de Dados (ANPD) ao afirmar que o incidente não caracterizava “risco ou dano relevante” aos titulares, conforme estabelece o Artigo 48 da LGPD para a comunicação obrigatória. Contudo, especialistas consultados pelo Times Brasil – Licenciado Exclusivo CNBC refutam essa justificativa.
Arthur Igreja, especialista em tecnologia, afirmou: “É difícil concordar, porque a própria empresa não pode estabelecer isso. Se cada um arbitrar por conta própria, não haveria necessidade de regulamentações e leis. São dados cadastrais, que são importantes. A lei existe e ela preconiza que haja notificação.”
ANPD Solicita Esclarecimentos
A Autoridade Nacional de Proteção de Dados confirmou ao Estadão que não recebeu comunicação formal sobre o incidente e começou a cobrar explicações da empresa apenas após a repercussão pública do caso. O órgão ressaltou que a LGPD exige que incidentes com potencial de gerar risco aos titulares sejam comunicados tanto à autoridade quanto aos próprios usuários em um prazo de até três dias úteis.
Fernando De Falchi, gerente de Engenharia de Segurança da Check Point Software Brasil, destacou que a avaliação inicial do risco cabe ao controlador dos dados, mas essa análise não é definitiva. Ele acrescentou: “A ANPD pode apurar incidentes não comunicados através do Processo de Apuração de Incidente, solicitar informações ao controlador e, se identificar um risco relevante, determinar a comunicação. A ANPD é a autoridade final para verificar a conformidade.”
Controlador de dados: Termo usado na LGPD para designar a empresa ou pessoa responsável por decidir como os dados pessoais de terceiros são coletados, armazenados e utilizados.
Problemas na Arquitetura de Segurança
Além da polêmica sobre a notificação, os especialistas indicam que a origem da falha revela um problema mais profundo na arquitetura de segurança da plataforma. O SIRA, sistema que processa requisições de juízes, promotores e delegados, operava sem autenticação reforçada e sem mecanismos adequados para prevenir a extração gradual de dados.
Marco Zanini afirmou: “Isso revela o erro clássico de priorizar a segurança do core business, ou seja, o aplicativo do usuário final, enquanto as plataformas internas de back-office permanecem negligenciadas. O ecossistema é tão forte quanto seu elo mais fraco.” Ele observou também que, considerando que o SIRA lida com dados relacionados a investigações criminais e ordens judiciais, a falta de autenticação multifator expõe uma desconexão preocupante entre a sensibilidade dos dados armazenados e o investimento em segurança desses ativos.
Fernando De Falchi complementou que sistemas que lidam com esse perfil de acesso requerem controles proporcionais ao risco. “Sistemas como o SIRA tratam de dados sensíveis e integrações com autoridades, o que reforça a importância de controles de acesso robustos como prática padrão em ambientes de alto risco,” afirmou o executivo da Check Point.
Questões de Transparência e Resposta do iFood
O vazamento ocorre em um contexto em que o iFood enfrenta múltiplos questionamentos sobre sua transparência. Em 27 de maio, um dia antes do incidente tornar-se público nos fóruns da dark web, a Secretaria Nacional do Consumidor abriu um processo administrativo sancionador contra a plataforma, devido ao descumprimento da Portaria 61/2026. Essa portaria obriga as empresas de entrega a informar aos consumidores o valor que vai para o entregador e o valor que fica com a plataforma, com multas que podem atingir R$ 14 milhões.
O Instituto SIGILO, uma organização dedicada à defesa dos direitos dos titulares de dados, informou que pretende notificar formalmente a ANPD e avaliar a possibilidade de propor uma Ação Civil Pública por danos morais coletivos, caso se prove negligência na proteção dos sistemas.
Ao ser contatado, o iFood declarou ao Times Brasil – Licenciado Exclusivo CNBC que não encontrou evidências de que 43 milhões de dados foram vazados e acrescentou que o material disponível na internet se refere a um incidente isolado ocorrido em dezembro de 2025, que foi “rapidamente neutralizado pelos protocolos de segurança”. A empresa também ressaltou que os dados afetados eram apenas cadastrais, como nome e CPF, e que não houve comprometimento de senhas, meios de pagamento ou registros financeiros, com um impacto restrito a cerca de 2% da base de usuários.
Em relação à ausência de notificação à ANPD, o iFood afirmou que o incidente foi tratado e avaliado seguindo estritamente a legislação, a qual dispensa o reporte e a comunicação quando o evento não gera risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD. A plataforma também declarou que todas as comunicações com usuários são realizadas exclusivamente por seus canais oficiais.
Fonte: timesbrasil.com.br
