Den brasilianska matleveransappen iFood har bekräftat att ett dataintrång i december 2025 drabbade ungefär 1,2 miljoner användare, vilket motsvarar cirka 2 procent av deras kundbas. Företaget meddelade detta offentligt den 3 juni 2026.

Enligt iFood fick angripare tillgång till namn, telefonnummer, adresser och CPF-nummer. CPF är ett brasilianskt skatteregistreringsnummer som används i vardagen för att öppna bankkonton, handla och verifiera identitet, ungefär som personnummer i Sverige. Lösenord, bankuppgifter och kortinformation ska däremot inte ha kommit åt.

Hackers hävdar att siffrorna är fel

Bekräftelsen kom efter en tvist om attackens verkliga omfattning. Den 28 maj 2026 publicerade en hackare med aliaset "bacen" ett inlägg på forumet BreachForums och hävdade att stölden rör uppemot 43,8 miljoner poster, alltså långt fler än de 1,2 miljoner som iFood uppger. Som bevis lades ett urval av uppgifter ut.

iFood uppger att intrånget snabbt begränsades och att det var ett isolerat fall. Företagets Android-app har laddats ned mer än 100 miljoner gånger och är en av Brasiliens mest använda tjänster i sitt slag.

Risken för identitetsbedrägeri

Även om betaldata inte kom åt innebär exponeringen av CPF-nummer och kontaktuppgifter en reell risk. Med dessa uppgifter kan angripare genomföra riktade nätfiskeattacker, försöka ta över konton hos andra tjänster eller sälja informationen vidare på mörka forum.

Det är ett mönster vi ser ofta: företag bekräftar ett intrång men uppger lägre siffror än vad hotaktörerna hävdar. Oavsett vilken sida som stämmer bör berörda användare vara extra vaksamma mot misstänkta meddelanden och kontrollera om deras uppgifter dykt upp i läckor.

Vad du bör göra

Om du eller ditt företag använder tjänster där liknande uppgifter hanteras är det läge att se över hur leverantörer skyddar persondata. Frågor att ställa inkluderar hur snabbt ett intrång kan upptäckas och begränsas, hur lång tid det tar innan kunderna informeras och om känsliga identifierare krypteras i vila.

iFood-intrånget är en påminnelse om att dataintrång inte alltid handlar om lösenord och kortuppgifter. Identifierande information som telefonnummer och nationella ID-nummer kan vara minst lika skadliga i fel händer.