iFood confirma vazamento de dados de 1,2 milhão de clientes

O iFood confirmou o vazamento de dados pessoais de pelo menos 1,2 milhão de clientes e funcionários públicos. O incidente, originado em dezembro de 2025, foi provocado por uma vulnerabilidade do tipo IDOR no Sistema iFood de Resposta às Autoridades (SIRA), um portal usado para responder a solicitações judiciais e policiais. Criminosos utilizaram uma conta comprometida da polícia para explorar a falha e extrair as informações ao longo de três meses.

A análise de arquivos exclusivos obtidos pela reportagem revelou a exposição de dados de 35 administradores do sistema e de 24 mil servidores da Polícia Federal, Polícia Civil, Ministério Público e do Judiciário. Além disso, amostras detalhadas de clientes expuseram um "dossiê" contendo nomes completos, CPFs, e-mails, números de telefone, históricos minuciosos de endereços de entrega e dados parciais de cartões de crédito.

Embora os cibercriminosos aleguem possuir registros de mais de 40 milhões de usuários, o iFood contesta a dimensão e afirma ter controlado a origem do vazamento. A plataforma reiterou que senhas e dados financeiros completos não foram comprometidos, mas especialistas alertam que o detalhamento dos dados pessoais vazados facilita a criação de golpes direcionados e fraudes de engenharia social.