Um conjunto de dados atribuído à plataforma brasileira Repediu, voltada ao setor de gestão de restaurantes e operações de delivery, foi publicado em um fórum de cibercrime.
A alegação é de que a empresa teria sido comprometida e que o material divulgado reúne registros detalhados de mais de 21,4 milhões de clientes, 1,2 milhão de leads e mais de 2.600 usuários internos do sistema.
O vazamento aparece datado de fevereiro de 2026 e expõe informações pessoais e operacionais ligadas a diferentes negócios, com exemplos citados como “ZigPay + WiFire” e “PRAÇA DO SUCO“.
De acordo com a amostra mencionada na divulgação, os arquivos comprometidos estariam organizados em formatos comuns de exportação, identificados como users.csv, customers.csv e leads.csv.
O detalhe que chama atenção não é apenas o volume, mas o nível de granularidade descrito. Em casos assim, o dado deixa de ser “cadastro vazado” e passa a ser matéria prima para fraudes direcionadas, porque fornece contexto. E contexto é o que torna um golpe convincente.
Dados de usuários internos, gestores e leads
No conjunto relacionado a usuários e gestores, a descrição do material inclui nomes completos, endereços de e mail e telefones, além de funções dentro da plataforma, como o papel de gerente. Também aparecem vínculos com empresas, incluindo afiliações comerciais e IDs de companhia, e até URLs de imagens de perfil.
Isso abre espaço para abordagens que simulam comunicação interna, contato de suporte ou mensagens que parecem vir de alguém de dentro da operação, especialmente quando o criminoso consegue combinar nome, cargo e empresa em um roteiro bem ensaiado.
Já para clientes e leads, o conteúdo citado vai além do básico. A amostra indica nomes completos e números de telefone com código de país, associação com empresas e informações de consumo, como histórico de compras com contagem de vendas e valores médios de ticket, além da data da última compra.
O material também aponta a presença de vínculos com restaurantes ou fornecedores visitados e um campo relacionado a status de verificação no WhatsApp. Na prática, isso significa que um atacante pode personalizar mensagens com alto grau de credibilidade, citando estabelecimento, recorrência e até um detalhe temporal, algo que costuma reduzir a desconfiança da vítima.
O que a amostra diz sobre os dados vazados?
Embora o caso seja descrito como alegado, com base no dataset divulgado e amostra apresentada, o episódio reforça um risco recorrente em plataformas de relacionamento e automação: quanto mais dados operacionais e pessoais são centralizados para melhorar vendas e retenção, maior é o impacto quando essa base aparece fora do ambiente autorizado.
Para consumidores, o alerta é para contatos inesperados citando nome e consumo, especialmente se houver pressão para clicar em links, informar códigos ou confirmar dados. Para empresas, fica a urgência de revisar governança de dados, integrações e resposta a incidentes, porque a reputação costuma pagar a conta antes mesmo de qualquer esclarecimento público.
