iFood confirma vazamento de 1,2 mi: como se proteger
iFood confirma vazamento que afeta 1,2 milhão de clientes e notifica a ANPD. Veja como proteger contas, PIX, cartões e consignado contra golpes.
Rita Cavalcanti
Um novo episódio de exposição de dados pessoais voltou a acender o alerta para milhões de brasileiros. O iFood, um dos aplicativos mais usados do país, confirmou um vazamento que atinge cerca de 1,2 milhão de clientes e já comunicou o caso à Autoridade Nacional de Proteção de Dados (ANPD). Para quem usa o aplicativo no dia a dia, a notícia traz uma preocupação imediata: o que pode acontecer com essas informações e, principalmente, como evitar cair em golpes financeiros que costumam vir logo depois desse tipo de incidente.
Este guia foi pensado para você entender, em linguagem direta, o que mudou com esse vazamento, quais fraudes tendem a aparecer nas próximas semanas e, sobretudo, o que fazer hoje mesmo para proteger o seu CPF, suas contas bancárias, o cartão de crédito e até a sua margem de empréstimo consignado. Mais do que se assustar, o objetivo aqui é dar a você um plano prático para agir antes que o golpista aja.
A verdade é que vazamentos como esse não se limitam a uma empresa só. Quando dados saem de uma base, eles podem ser cruzados com outras bases já circulantes em fóruns clandestinos, o que aumenta o poder de convencimento das fraudes. É por isso que a leitura atenta deste material — e a aplicação das dicas — vale tanto para clientes do iFood quanto para qualquer pessoa que queira reduzir o risco de cair em golpes via WhatsApp, telefone, e-mail ou SMS.
O que se sabe sobre o vazamento do iFood e o papel da ANPD
O iFood confirmou publicamente o vazamento que afeta aproximadamente 1,2 milhão de clientes e notificou a ANPD, conforme exige a legislação brasileira. A notificação ao órgão regulador é uma obrigação prevista na Lei Geral de Proteção de Dados (LGPD), sempre que há incidente de segurança capaz de gerar risco ou dano relevante aos titulares — ou seja, às pessoas cujas informações foram expostas.
O detalhamento oficial sobre quais campos de dados foram expostos (por exemplo, nome, e-mail, telefone, endereço, histórico de pedidos ou dados de pagamento) ainda depende de novas comunicações da empresa e da ANPD. Esses pontos são importantes porque o tipo de dado vazado define o nível de risco. Se foram expostos apenas e-mail e nome, o golpe mais provável é o phishing por mensagem. Se foram expostos endereço completo, telefone e histórico de compras, o golpe tende a ser muito mais convincente, porque o criminoso consegue se passar por alguém que “realmente conhece” você.
Vale lembrar que, segundo a LGPD, empresas que tratam dados pessoais têm o dever de adotar medidas de segurança e, em caso de incidente, comunicar tanto a ANPD quanto os titulares afetados, indicando quais informações foram comprometidas e quais medidas estão sendo tomadas. Em outras palavras: você, como cliente, tem direito de ser informado de forma clara — e tem o direito de exigir transparência. Mais à frente, neste guia, vamos detalhar como exercer esses direitos na prática.
Do lado da empresa, episódios assim costumam ser seguidos por investigação interna, reforço de barreiras técnicas, troca de credenciais e auditoria de acessos. Do seu lado, a melhor postura é não esperar a poeira baixar. Quanto antes você atuar para reduzir a sua exposição, menor a chance de virar alvo das ondas de golpes que normalmente seguem esse tipo de notícia.
Quais golpes financeiros surgem depois de um vazamento de dados
Quando um banco de dados vai parar nas mãos erradas, o passo seguinte dos criminosos é monetizar a informação. E a forma mais comum de fazer isso é aplicar golpes que misturam dados reais (que dão credibilidade) com pedidos urgentes (que tiram o seu tempo de pensar). Conhecer os formatos mais usados é o primeiro passo para não cair.
Phishing personalizado por e-mail e SMS. Você recebe uma mensagem que parece vir do próprio aplicativo, do banco ou de uma loja, citando seu nome completo, seu endereço e até um pedido recente. O texto pede que você “confirme uma cobrança”, “atualize o cadastro” ou “regularize o CPF” em um link. Esse link leva a uma página falsa que captura senhas, dados do cartão ou códigos de autenticação.
Golpe do falso entregador e do falso atendente. Como o vazamento envolve um aplicativo de entregas, é esperado que apareçam ligações de pessoas se passando por atendentes do app ou por entregadores, dizendo que houve “problema com o pagamento” ou “estorno pendente”. O criminoso já sabe seu nome, telefone e bairro, o que torna a conversa muito convincente. O objetivo final é fazer você passar um código de confirmação, instalar um aplicativo de acesso remoto ou fazer um PIX para “liberar a entrega”.
Golpe do falso funcionário do banco. Outro clássico que cresce após vazamentos é a ligação que parece vir do gerente. O golpista cita dados verdadeiros sobre você para ganhar confiança e, em seguida, alega que houve uma tentativa de fraude na sua conta — pedindo que você transfira o dinheiro para uma “conta segura” ou autorize um “teste” no aplicativo do banco. Nenhum banco real faz esse tipo de pedido.
Golpe do empréstimo aprovado que você não pediu. Aqui o criminoso liga ou manda mensagem dizendo que existe uma proposta de crédito pré-aprovada no seu nome — consignado, pessoal ou cartão. Ele pede dados adicionais, uma “taxa de liberação” ou um PIX antecipado. Em alguns casos, usa os seus dados vazados para tentar contratar crédito de fato em fintechs com cadastro frágil.
Clonagem de WhatsApp e fraude do código. Com telefone e nome em mãos, o golpista tenta cadastrar o seu número em outro aparelho. Para concluir, precisa do código de seis dígitos que chega por SMS — e tenta arrancar esse código com alguma desculpa (“confirme que você é cliente”, “estamos validando seu cadastro do app”). Quem entrega o código perde o acesso à conta, que passa a ser usada para pedir dinheiro emprestado aos contatos.
O ponto comum de todos esses golpes é a pressa. Quando alguém te liga ou te escreve com urgência, citando dados verdadeiros e pedindo uma ação imediata — clicar, transferir, instalar, confirmar código — é hora de desconfiar. Vazamento ou não, essa regra vale para sempre.
Como descobrir se seus dados foram expostos e o que verificar agora
Mesmo sem confirmação individual da empresa, você pode (e deve) presumir que está exposto e agir de forma preventiva. Há, porém, alguns passos concretos para mapear o tamanho do problema.
1. Aguarde e leia com atenção a comunicação oficial. A LGPD prevê que titulares afetados sejam comunicados. Se você receber um e-mail do iFood sobre o incidente, leia com calma, não clique em links de dentro da mensagem e, em caso de dúvida, abra o aplicativo diretamente do ícone no celular para checar avisos na central de mensagens. Golpistas costumam imitar comunicações reais nesse momento de confusão.
2. Cheque o que está vinculado à sua conta no app. Entre no aplicativo e revise endereços salvos, cartões cadastrados, números de telefone vinculados e dispositivos com sessão ativa. Remova qualquer dado que não use mais. Cartões pouco utilizados podem ser desvinculados para reduzir a sua exposição.
3. Troque a senha do aplicativo — e de qualquer outro serviço que use a mesma senha. Esta é uma das medidas mais subestimadas. Muita gente repete senhas entre e-mail, banco, redes sociais e apps de entrega. Se uma vaza, todas podem cair. Crie uma senha exclusiva, com pelo menos 12 caracteres, misturando letras, números e símbolos.
4. Ative a verificação em duas etapas em tudo. E-mail, banco, redes sociais e WhatsApp. Isso impede que, mesmo com a senha em mãos, o criminoso consiga entrar sem o segundo código.
5. Consulte seu CPF em serviços oficiais de crédito. Acompanhar o seu CPF nos birôs de crédito ajuda a identificar consultas suspeitas, abertura de contas que você não reconhece e contratos de crédito em seu nome. Avisos de “nova consulta” por e-mail ou aplicativo são gratuitos na maior parte dos serviços e funcionam como um sistema de alarme.
6. Consulte seu extrato no Meu INSS, se você for aposentado ou pensionista. Aqui mora um cuidado importante: criminosos com seus dados em mãos podem tentar contratar empréstimo consignado no seu nome. Verifique, dentro do aplicativo Meu INSS, se há descontos novos no benefício e se há empréstimos consignados ativos que você não reconhece. Você pode também bloquear, pelo próprio Meu INSS, novas contratações de consignado — funcionalidade desenhada justamente para evitar fraude.
Passo a passo para se proteger de fraudes após o vazamento
Agora que você sabe o que pode acontecer, vamos ao plano de ação concreto. A ideia é dividir as proteções em três frentes: contas digitais, dinheiro e crédito.
Frente 1 — Contas digitais e celular. Atualize o sistema operacional do celular, ative bloqueio de tela por biometria e senha forte, revise quais aplicativos têm permissão de acessibilidade (muitos golpes usam essa permissão para controlar o aparelho à distância) e desinstale apps que você não reconhece. Habilite a verificação em duas etapas no WhatsApp com um PIN próprio e nunca, em hipótese alguma, repasse códigos recebidos por SMS — nem para “atendentes”, nem para parentes, nem para o “gerente do banco”.
Frente 2 — Contas bancárias e PIX. Ajuste, no aplicativo do seu banco, os limites do PIX para o menor valor compatível com a sua rotina, especialmente o limite noturno (das 20h às 6h), que por norma do Banco Central pode ser reduzido para até R$ 1.000 nesse período. Isso não impede totalmente uma fraude, mas reduz drasticamente o prejuízo se um golpista invadir sua conta. Cadastre dispositivos confiáveis e desative o acesso a celulares antigos. Se identificar qualquer transação que não reconhece, ligue imediatamente para o banco e registre boletim de ocorrência — o registro é fundamental para discutir estorno.
Frente 3 — Crédito e CPF. Ative alertas de consulta ao CPF nos birôs de crédito e considere usar o serviço de “autoatendimento” da Receita Federal para acompanhar seu CPF. Se algum contrato suspeito aparecer, conteste formalmente junto à instituição financeira que originou a operação, exigindo o cancelamento e a remoção da negativação. Pela legislação de defesa do consumidor e pela própria LGPD, a instituição precisa comprovar que houve contratação válida — caso contrário, é obrigada a desfazer a operação.
Um cuidado adicional: descritivos de pedidos antigos podem ser usados para te enganar. Se alguém ligar dizendo “você fez um pedido em tal endereço, no valor X, no dia Y, e queremos estornar”, mesmo que os dados estejam corretos, não confirme nada, não clique em nada e não passe códigos. Desligue e ligue você mesmo para o canal oficial da empresa, encontrado dentro do aplicativo.
O que diz a LGPD e quais são os seus direitos como consumidor
A Lei Geral de Proteção de Dados é a sua principal aliada nesse cenário. Ela garante a qualquer pessoa o direito de saber quais dados uma empresa tem sobre ela, para que está usando, com quem está compartilhando e por quanto tempo vai armazenar. Em caso de incidente como o que atinge clientes do iFood, alguns direitos ganham peso prático.
Você tem direito a ser informado sobre o incidente de forma clara, incluindo a natureza dos dados afetados, os riscos envolvidos e as medidas adotadas. Tem direito a solicitar a correção de informações incorretas e a eliminação de dados desnecessários. Tem direito a pedir a portabilidade dos seus dados a outro fornecedor e tem direito a fazer reclamação formal à ANPD se entender que seus direitos foram violados.
A reclamação à ANPD é gratuita e pode ser feita pelo site oficial da autoridade (anpd.gov.br). Para ter peso, descreva o incidente, anexe prints de comunicações recebidas e relate qualquer prejuízo concreto — uma tentativa de golpe, uma cobrança indevida, um empréstimo contratado no seu nome. Quanto mais consumidores reclamam, maior a pressão regulatória sobre a empresa para reforçar segurança e, eventualmente, indenizar.
Vale lembrar que, além da LGPD, existe o Código de Defesa do Consumidor. Bancos, fintechs e plataformas que usam seus dados respondem por falhas de segurança e por danos causados por fraudes contratadas com dados vazados. Isso significa que, se um empréstimo for contratado no seu nome a partir de dados expostos, há base legal sólida para exigir o cancelamento sem ônus.
Cuidados específicos com empréstimo consignado e crédito no nome
Para aposentados, pensionistas do INSS e trabalhadores CLT, há uma camada extra de risco quando dados pessoais vazam: a tentativa de contratação de empréstimo consignado em seu nome. Como o consignado é descontado direto do benefício ou do salário, ele é especialmente cobiçado por fraudadores.
Para quem é aposentado ou pensionista, é importante conhecer as regras atuais para identificar rapidamente qualquer descumprimento. O empréstimo consignado do INSS pode ser contratado em até 108 meses, com margem consignável total de 40% do valor do benefício. Dessa margem, 5% ficam reservados exclusivamente para cartão benefício e/ou cartão consignado: se você tem algum desses cartões, o empréstimo em si fica limitado a 35%; se você não tem cartão nenhum, os 40% inteiros podem ser usados para o consignado. A primeira parcela pode ter carência de até 90 dias. Qualquer proposta fora desses parâmetros — prazo maior, “liberação” de margem além disso, taxas adiantadas — é sinal claríssimo de fraude.
Para o trabalhador CLT, o consignado privado vai até 96 meses, com margem de 35% do salário, e atualmente só existe a modalidade de empréstimo (não há cartão consignado nesse modelo). Também aqui, qualquer proposta que prometa “liberar mais que isso” ou “antecipar margem” é fraude.
Merece atenção especial quem recebe BPC/LOAS. Diferente do que muitos golpistas (e até alguns sites) afirmam, o BPC/LOAS não está proibido por lei de servir de base para empréstimo consignado. O que ocorre, no contexto atual de 2026, é que, diante do volume elevado de cessações e revisões desse benefício, as instituições autorizadas recuaram na oferta dessa modalidade — ou seja, a contratação é permitida em lei, mas a disponibilidade prática nas instituições está bastante reduzida. Isso é importante por dois motivos: primeiro, para você não ser enganado por quem diz “é proibido, mas eu consigo liberar mediante taxa” (mentira em duas camadas); segundo, para você não confiar em quem garante contratação fácil de consignado para BPC hoje (também não é o cenário real).
Medidas práticas para blindar seu crédito após o vazamento:
- Ative o bloqueio de novos empréstimos consignados no aplicativo Meu INSS, se você for aposentado ou pensionista. Essa é a barreira mais eficiente contra contratação fraudulenta.
- Não atenda propostas vindas por WhatsApp, SMS ou ligações frias. Empréstimo sério se contrata buscando você o banco, e não o contrário.
- Nunca pague taxa antecipada. Em nenhuma modalidade legítima de crédito existe cobrança antes da liberação. Se pediram PIX para “liberar”, é golpe.
- Confira sempre o extrato do benefício ou da folha de pagamento. Descontos novos que você não reconhece devem ser contestados imediatamente junto à instituição que originou o desconto.
- Guarde provas. Prints de propostas, áudios de ligações suspeitas e e-mails são essenciais para reverter cobranças e para reclamar à ANPD, ao Banco Central e ao Procon.
Conclusão: o que fazer hoje mesmo para reduzir o risco
O vazamento que atinge cerca de 1,2 milhão de clientes do iFood e foi comunicado à ANPD é mais um lembrete de que dados pessoais, no Brasil, circulam mais do que deveriam. A boa notícia é que, com um plano simples, dá para reduzir drasticamente o risco de virar vítima de golpe — independentemente de o seu CPF estar ou não nessa lista específica.
No curto prazo, faça três coisas ainda hoje: troque a senha do aplicativo e do e-mail vinculado, ative a verificação em duas etapas em WhatsApp, banco e redes sociais e reduza o limite do PIX, principalmente no período noturno. No médio prazo, ative alertas de consulta ao CPF, revise contratos no Meu INSS ou na folha do seu emprego e bloqueie novos consignados se não pretende usá-los. Sempre que receber uma mensagem ou ligação com pressa, dados verdadeiros e pedido de código, PIX ou clique, pare e desconfie — é a assinatura dos golpes pós-vazamento.
Lembrar de uma frase ajuda: empresa séria não pede senha, não pede código por telefone e não cobra taxa antes de liberar empréstimo. Se seguir essa régua, você fecha a porta para a maior parte das fraudes que costumam vir depois de incidentes como este.
Referências
- Portal Contábeis — "iFood confirma vazamento de dados de 1,2 milhão de clientes e notifica ANPD". Disponível em: https://www.contabeis.com.br/noticias/77293/ifood-confirma-vazamento-de-dados-de-1-2-milhao-de-clientes-e-notifica-anpd/
- Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd
- Lei Geral de Proteção de Dados (Lei nº 13.709/2018).
Comentários (0)
Ainda não há comentários. Seja o primeiro a comentar!
Deixe seu comentário
📩 Gostou? Receba mais como este
Novidades sobre consignado e FGTS toda semana.