iFood confirma vazamento de dados de 1,2 milhão de clientes

O iFood confirmou ao TecMundo, em reportagem publicada nesta quarta-feira 3 de junho, o vazamento de dados de 1,2 milhão de clientes. O incidente ocorreu em dezembro de 2025, mas só agora foi revelado após investigação independente. O TecMundo recebeu arquivos de um cibercriminoso identificado como Harold Baker, que indicam um incidente possivelmente mais amplo. Segundo ele, a falha seria do tipo IDOR (Referência Direta Insegura a Objetos) no SIRA, Sistema iFood de Resposta às Autoridades.

O SIRA é usado para atender solicitações judiciais e administrativas. Conforme relato do criminoso, uma conta da polícia teria sido comprometida, permitindo extrair dados gradualmente por três meses sem alertas. Foram expostos nome completo, CPF, e-mail, telefone e histórico de endereços de entrega. Houve também exposição parcial de cartões de crédito, sem data de validade ou código de segurança. O iFood afirma que meios de pagamento não foram comprometidos, já que dados essenciais para fraude não estavam completos. Harold Baker contesta e afirma que há até 4 milhões de registros, sem comprovação.

A ANPD notificou o iFood para esclarecimentos. A LGPD exige comunicação de incidentes relevantes à agência e aos titulares quando há risco ou dano significativo. A empresa afirmou que não havia notificado anteriormente por considerar o evento de baixo risco.

▌ CYBERPROTEC INTELIGÊNCIA

O caso expõe um ponto cego comum em plataformas digitais, sistemas de apoio raramente têm a mesma proteção que os principais. O SIRA continha dados completos de clientes. A falha IDOR, documentada há anos pela OWASP e associada ao Broken Access Control, permitiu acesso indevido. A CyberProtec recomenda revisar todos os portais de acesso externo, inclusive administrativos, com testes de penetração regulares. Ferramentas para autoridades não podem ser porta de entrada para criminosos.