iFood Datenleck: 1,2 Millionen Kundendaten in Brasilien offengelegt
data-breach security brazil ifood news
trending_up Trend: data-breach

iFood Datenleck: 1,2 Millionen Kundendaten in Brasilien offengelegt

calendar_month 5. Juni 2026

Zusammenfassung

iFood, Brasiliens führende Essenslieferplattform, hat einen Datenleck bestätigt, der die persönlichen Daten von etwa 1,2 Millionen Kunden (ca. 2% der Nutzerbasis) betrifft. Während Hacker behaupten, über 43 Millionen Datensätze gestohlen zu haben, hält das Unternehmen an der Zahl von 1,2 Millionen fest und gibt an, dass der Vorfall bereits im Dezember 2025 stattfand.

Was ist passiert?

Am 3. Juni 2026 bestätigte iFood offiziell eine Sicherheitsverletzung, nachdem Hacker im Dark Web (BreachForums) mit der Veröffentlichung massiver Datenmengen gedroht hatten. Betroffen sind Namen, Telefonnummern, E-Mail-Adressen und CPF-Nummern (brasilianische Steuer-IDs). iFood betont, dass Passwörter und Zahlungsinformationen sicher sind. Die Diskrepanz zwischen den von iFood bestätigten 1,2 Millionen und den von Hackern behaupteten 43,8 Millionen Datensätzen sorgt jedoch für erhebliche Unsicherheit.

Warum es wichtig ist

Der Vorfall unterstreicht die Verwundbarkeit großer Verbraucherplattformen in Schwellenländern. Besonders kritisch ist der Diebstahl von CPF-Nummern, die in Brasilien häufig für Identitätsdiebstahl und Finanzbetrug missbraucht werden. Zudem steht iFood in der Kritik, da das Unternehmen die betroffenen Nutzer nicht einzeln informiert hat, mit der Begründung, es bestünde kein “relevantes Risiko” gemäß dem brasilianischen Datenschutzgesetz (LGPD).

Beweise

Die Bestätigung durch iFood erfolgte nach Drohungen des Hackers “bacen” auf BreachForums, der ein Lösegeld forderte. Sicherheitsforscher haben Probedaten analysiert, die die Echtheit der geleakten Informationen teilweise bestätigen.

Analyse

Die Verzögerung zwischen dem eigentlichen Vorfall (Dezember 2025) und der öffentlichen Bekanntgabe (Juni 2026) wirft Fragen zur Transparenz und den internen Sicherheitsaudits von iFood auf. Die Entscheidung, Nutzer nicht einzeln zu warnen, könnte das Vertrauen in die Marke langfristig schädigen, selbst wenn die rechtlichen Anforderungen des LGPD technisch erfüllt sein sollten. Es besteht zudem der Verdacht, dass die 1,2 Millionen bestätigten Datensätze nur die Spitze des Eisbergs sind oder zu einem separaten, älteren Vorfall gehören.

Praktische Erkenntnisse

  • Für Nutzer: Vorsicht vor Phishing-Mails oder SMS, die persönliche Details (wie CPF) enthalten. Nutzen Sie nur die offizielle iFood-App für Kommunikation.
  • Für Unternehmen: Datenschutz ist nicht nur eine rechtliche Pflicht, sondern ein Vertrauensanker. Proaktive Kommunikation ist im Krisenfall oft besser als Schadensbegrenzung nach Faktenlage.

Offene Fragen

  • Ist die Zahl von 43,8 Millionen Datensätzen tatsächlich erfunden, oder verschleiert iFood das wahre Ausmaß?
  • Werden brasilianische Regulierungsbehörden (ANPD) iFoods Einschätzung des “geringen Risikos” folgen oder Sanktionen verhängen?

Quellen

  1. iFood Confirms Data Breach (Brazil Stock Guide)
  2. iFood Data Leak: Hackers Claim 44M Records (Hackread)
  3. iFood confirms breach of 1.2M records (SC World)