O iFood confirmou que 1,2 milhão de usuários tiveram dados vazados. O hacker no BreachForums afirma que são 43,84 milhões. A diferença entre os números é 36 vezes. E a empresa não notificou a ANPD porque "não há risco relevante". É sobre isso que precisamos falar.
A timeline do vazamento
Em 28 de maio de 2026, o hacker conhecido como "bacen" publicou no BreachForums uma oferta de 43,84 milhões de registros contendo CPF, nome, email, telefone e cartões. Deadline para negociação: 10 de junho.
Cinco dias depois, em 3 de junho, o iFood emitiu nota confirmando 1,2 milhão de usuários afetados — cerca de 2% da base total. O incidente teria ocorrido em dezembro de 2025. Segundo a empresa, os dados expostos seriam apenas nome e CPF, sem senhas ou informações financeiras.
A nota oficial do iFood foi direta: "Incidente isolado, dezembro de 2025, rapidamente neutralizado. Nome e CPF. Sem senhas, meios de pagamento ou registros financeiros." E encerrou: "O evento não acarreta risco ou dano relevante aos titulares."
Por isso, não notificou a ANPD. Nem os usuários.
A discrepância de 36 vezes
1,2 milhão versus 43,84 milhões. Como explicar uma diferença dessa magnitude? Três cenários são possíveis — e nenhum é confortável.
Primeiro: o hacker inflou o número para aumentar o valor da extorsão. Isso é prática comum em BreachForums — inflar volumes para pressionar a negociação.
Segundo: o material combina dados de múltiplas fontes. Outros vazamentos, infostealers, bases públicas. O hacker reúne registros de várias origens e atribui tudo a um único incidente para dar credibilidade à oferta.
Terceiro: o iFood está subnotificando. Uma discrepância de 36x é grande demais para ser descartada sem investigação. A ANPD vai oficiar a empresa, e a extensão real do incidente será um dos pontos centrais.
O que é certo: 1,2 milhão de registros com nome e CPF estão em circulação. Isso, por si só, já é grave. E a ausência de clareza sobre o número real é exatamente o tipo de cenário em que a notificação à ANPD deveria ter sido feita de imediato — não semanas depois, sob pressão pública.
Por que "nome e CPF não têm risco relevante" é uma afirmação perigosa
Dizer que nome e CPF "não acarretam risco relevante" ignora como fraude funciona no Brasil. CPF é o equivalente brasileiro ao SSN americano — público por design e chave para todo o sistema financeiro.
Com nome e CPF em mãos, um fraudador pode abrir contas fraudulentas em fintechs e bancos digitais. Pode executar SIM swap para interceptar SMS de verificação e assumir contas bancárias. Pode montar campanhas de phishing e smishing direcionados, usando dados verificados para ganhar confiança da vítima. Pode cometer fraude de identidade para contratar serviços e fazer compras.
O iFood tem 60 milhões de usuários. Muitos usam a plataforma como principal canal de alimentação e pagamento. Esses usuários confiam seus dados financeiros ao app. Dizer que o vazamento de CPF de 1,2 milhão deles não tem risco relevante é subestimar sistematicamente o cenário de fraude brasileiro.
A gravidade não está no tipo de dado isoladamente — está na combinação e no contexto. Nome e CPF, juntos, num país onde o CPF abre portas no sistema financeiro, representam risco relevante por definição.
A obrigação legal que foi ignorada
O regulamento da ANPD exige comunicação em até 3 dias úteis para incidentes que apresentem risco relevante aos titulares. A obrigação existe mesmo quando há incerteza sobre a extensão do incidente. Ou seja: se você não sabe ao certo quantas pessoas foram afetadas, isso é motivo a mais para notificar — não a menos.
A ANPD já anunciou que vai oficiar o iFood. O caminho é o mesmo que vimos em outros casos: a autoridade abre procedimento, solicita informações e avalia se houve descumprimento da LGPD.
O problema estrutural vai além do iFood. Quando uma empresa decide unilateralmente que o risco não é relevante, a lei perde o propósito. A LGPD existe para garantir transparência. Se o titular não sabe que seus dados estão em circulação, não pode se proteger. E 1,2 milhão de pessoas ficaram sem saber.
Esse é o ponto central: a notificação não é apenas uma formalidade burocrática. É o mecanismo que permite ao titular agir — trocar senhas, monitorar contas, bloquear crédito. Sem notificação, o vazamento é silencioso. E o dano se multiplica exatamente porque ninguém foi avisado.
Contexto e lições
Este incidente não é isolado na história recente do iFood. Em outubro de 2025, dois ex-funcionários foram alvo de operação policial por vender dados a um concorrente. A empresa não detalhou o vetor do incidente de dezembro de 2025 — se foi acesso interno comprometido, vulnerabilidade de infraestrutura ou outro vetor.
O que aprendemos com casos como esse: a transparência não é opcional, é obrigação legal. A avaliação de risco precisa considerar o contexto real de fraude no Brasil, não uma leitura técnica restritiva. E governança de dados não é apenas ter políticas no papel — é ter processos que funcionam quando o incidente acontece.
Na Tech86, ajudamos empresas a implementar governança de dados e resposta a incidentes com transparência em primeiro lugar. Porque quando o vazamento acontece — e vai acontecer — o que define o dano não é só o incidente, é a resposta.