Uma denúncia da plataforma Vecert Threat Intelligence, divulgada em 19 de abril de 2026, revelou que um suposto banco de dados contendo 251 milhões de CPFs brasileiros estaria sendo comercializado na dark web. O volume supera a população viva do Brasil (estimada em 213 milhões) porque inclui registros de pessoas falecidas. O Ministério da Gestão e da Inovação em Serviços Públicos negou invasão ao Gov.br, mas o episódio reacende o debate sobre segurança de dados pessoais no país.
O que se sabe sobre o vazamento
Segundo a Vecert, um grupo identificado como “Buddha” teria extraído os dados da plataforma Gov.br em 15 de março de 2026. O pacote, batizado de “Morgue”, conteria CPF, nome completo, data de nascimento, gênero e nome dos pais.
A própria plataforma de monitoramento ressalta que a informação ainda não foi verificada oficialmente. Especialistas alertam, porém, que bancos de dados semelhantes circulam em fóruns clandestinos e alimentam fraudes há anos. O Brasil já viveu megavazamentos antes: em 2021, dados de 223 milhões de CPFs foram expostos, incluindo informações financeiras.
Como criminosos usam CPFs vazados em golpes
Dados pessoais são matéria-prima para fraudes digitais. Os golpes mais comuns incluem:
Phishing personalizado: com nome, CPF e data de nascimento, golpistas criam e-mails e mensagens que imitam bancos e órgãos públicos com alto realismo. O destinatário acredita que a mensagem é legítima porque contém dados reais.
Abertura de contas fraudulentas: criminosos usam CPFs vazados para abrir contas digitais e contratar empréstimos em nome das vítimas. A pessoa só descobre quando recebe cobranças.
Falsa central telefônica: usando dados pessoais, o golpista liga se passando por funcionário de banco e cita informações verdadeiras para ganhar confiança. Essa prática combina dados vazados com spoofing telefônico.
Engenharia social via mensageiros: golpistas enviam mensagens fingindo ser parentes ou empresas, usando informações pessoais para tornar a abordagem convincente.
O que diz a LGPD
A Lei Geral de Proteção de Dados obriga organizações a adotar medidas para proteger informações pessoais. Em caso de incidente, o controlador deve comunicar a ANPD e os titulares afetados.
As sanções incluem multa de até 2% do faturamento (limitada a R$ 50 milhões por infração), bloqueio e eliminação dos dados. A ANPD pode suspender parcialmente o banco de dados por até seis meses.
Na prática, a fiscalização enfrenta desafios. A ANPD conta com equipe reduzida, e vazamentos de bases públicas criam zonas cinzentas sobre responsabilidade. Uma decisão recente do TJ-MG condenou um banco a indenizar cliente após vazamento que resultou em golpe, reforçando a responsabilidade objetiva dos controladores.
Como proteger seus dados pessoais
Monitore seu CPF: o Registrato (Banco Central) e o Serasa permitem verificar gratuitamente se existem contas ou empréstimos em seu nome.
Ative autenticação em dois fatores: em bancos, e-mail e redes sociais. Prefira aplicativos autenticadores em vez de SMS.
Desconfie de contatos inesperados: bancos e órgãos públicos não pedem senhas ou transferências por telefone ou mensagem.
Use mensageiros com criptografia ponta a ponta: apps de mensagens seguros garantem que conversas permaneçam privadas.
Reduza sua exposição: evite compartilhar dados pessoais em cadastros online e redes sociais desnecessariamente.
PhizChat: comunicação segura como linha de defesa
Quando dados pessoais vazam, a comunicação se torna o principal vetor de ataque. Golpistas usam mensagens e ligações para transformar informações roubadas em fraudes. Escolher um app de mensagens seguro deixou de ser opcional.
O PhizChat oferece criptografia ponta a ponta e foco em privacidade desde a concepção. Diferente de aplicativos convencionais, não coleta metadados de conversas e opera em conformidade com a LGPD. Em um cenário onde 251 milhões de CPFs podem estar na dark web, proteger o canal de comunicação é o passo mais urgente. O PhizChat é a alternativa ao WhatsApp para quem leva privacidade a sério.
Perguntas frequentes
Meus dados foram vazados. O que devo fazer primeiro?
Consulte o Registrato do Banco Central para verificar movimentações. Ative alertas no Serasa e, se identificar fraude, registre boletim de ocorrência.
O Gov.br foi realmente invadido?
O Ministério da Gestão negou invasão. A Vecert informou que a alegação não foi verificada oficialmente. A investigação segue em andamento.
A LGPD protege meus dados em caso de vazamento?
Sim. A LGPD prevê sanções para organizações que falham em proteger dados e garante ao titular o direito de ser informado e buscar reparação.
Qual a diferença entre um app de mensagens seguro e o WhatsApp?
Apps como o PhizChat não coletam metadados, enquanto o WhatsApp compartilha informações com a Meta para fins publicitários.
Android
iOS