O iFood informou que, em dezembro de 2025, sofreu um incidente de segurança que atingiu aproximadamente 2% da sua base de usuários — cerca de 1,2 milhão de pessoas. Segundo a empresa, os dados expostos foram cadastrais, como nome e CPF, e não houve comprometimento de senhas, meios de pagamento ou registros financeiros. A companhia afirma que o evento foi rapidamente contido pelos seus protocolos internos.
A Autoridade Nacional de Proteção de Dados (ANPD) confirmou que não recebeu notificação formal sobre o caso, mas solicitou informações à empresa. Pela Lei Geral de Proteção de Dados, controladores devem comunicar à ANPD e aos titulares incidentes que possam acarretar risco ou dano relevante, em prazo curto. O iFood alegou que, na sua avaliação, não houve risco relevante — uma avaliação que agora estará sob escrutínio do órgão regulador.
O episódio ganha contornos mais complexos diante de relatos em fóruns da chamada dark web: o site Dark Web Informer reproduziu afirmativa de um usuário do Breach Forums que dizia dispor de dados de dezenas de milhões de contas, com informações supostamente mais sensíveis. O iFood rechaçou essa versão e reafirmou o número de 1,2 milhão de afetados. A divergência de versões amplia incertezas e expõe a empresa a maior pressão sobre transparência e segurança.
Além do risco legal e de eventual investigação administrativa, a hipótese de vazamento mesmo que limitado tem custo reputacional e operacional: ameaça a confiança de consumidores, custo de reforço de segurança e risco de ações coletivas. O desfecho dependerá das checagens da ANPD e da clareza das informações fornecidas pela companhia — níveis de transparência que serão decisivos para limitar o desgaste institucional e econômico.