O Brasil é um dos países mais afetados por vazamentos de dados no mundo. Entre o último trimestre de 2024 e o primeiro semestre de 2025, mais de 416 milhões de contas foram expostas no país, segundo levantamento da Starti. O custo médio de uma violação de dados no Brasil atingiu R$ 7,19 milhões em 2025, conforme o relatório IBM Cost of a Data Breach. Esses números mostram que proteger informações pessoais deixou de ser opcional.
Neste ranking, reunimos os 5 maiores vazamentos de dados já registrados no Brasil. Cada caso traz lições concretas sobre os riscos de confiar seus dados a empresas que não priorizam a segurança.
1. Megavazamento de CPFs (2021): 223 milhões de registros
O maior vazamento de dados da história do Brasil expôs informações de 223 milhões de CPFs, incluindo dados de pessoas falecidas. Os registros incluíam nome completo, data de nascimento, endereço, score de crédito, renda, fotos de rosto e até dados de veículos.
A investigação apontou a Serasa Experian como possível origem dos dados. O Instituto Sigilo moveu ação civil pública pedindo indenização de R$ 30 mil por pessoa afetada, embora o caso siga tramitando na Justiça.
Lição: Mesmo empresas que gerenciam dados financeiros de milhões de brasileiros podem falhar na proteção dessas informações. Dados como score de crédito e renda, uma vez expostos, facilitam golpes de engenharia social e fraudes financeiras por anos.
2. Ataque ao Ministério da Saúde (2021): 243 milhões de registros
Em dezembro de 2021, o grupo Lapsus$ invadiu os sistemas do Ministério da Saúde e derrubou o ConecteSUS, o aplicativo que armazenava comprovantes de vacinação contra a Covid-19. Dados de 243 milhões de brasileiros ficaram expostos, incluindo informações do DataSUS, histórico de internações e dados cadastrais.
O sistema ficou fora do ar por semanas, prejudicando viajantes que precisavam do comprovante de vacinação. O ataque explorou credenciais de acesso comprometidas de servidores públicos.
Lição: Dados de saúde são extremamente sensíveis e valiosos no mercado ilegal. A falta de autenticação robusta em sistemas governamentais facilitou o ataque. Credenciais roubadas continuam sendo uma das principais portas de entrada para invasores.
3. Vazamento de chaves Pix (2021-2025): mais de 900 mil chaves
Desde a criação do Pix em 2020, o Banco Central registrou ao menos 15 incidentes de vazamento de chaves Pix envolvendo diferentes instituições financeiras. O maior deles expôs dados cadastrais vinculados a mais de 400 mil chaves de uma única instituição.
Embora o Banco Central afirme que dados sensíveis como senhas e saldos não foram comprometidos, as informações vazadas (nome, CPF, banco, agência) são suficientes para alimentar golpes de phishing e engenharia social altamente personalizados.
Lição: Mesmo dados considerados “não sensíveis” pelo sistema financeiro podem ser usados para aplicar golpes convincentes. Criminosos combinam informações parciais de diferentes vazamentos para montar perfis completos das vítimas.
4. Lojas Renner (2021): sistemas paralisados por ransomware
Em agosto de 2021, a Lojas Renner sofreu um ataque de ransomware que paralisou seu site de e-commerce e sistemas internos por cerca de 48 horas. O grupo RansomExx reivindicou a autoria e teria exigido resgate de US$ 1 bilhão, embora a empresa negue ter realizado qualquer pagamento.
O ataque afetou operações em mais de 600 lojas físicas e deixou milhões de clientes sem acesso a serviços digitais. Dados internos da empresa foram criptografados, e parte das informações foi publicada na dark web.
Lição: Ataques de ransomware não apenas roubam dados, mas podem paralisar operações inteiras. Empresas que dependem de infraestrutura digital precisam de planos de contingência e backups isolados. Quando dados de clientes estão envolvidos, o impacto se multiplica.
5. INSS e dados previdenciários (2022-2024): 40 milhões de segurados
Investigações do Tribunal de Contas da União (TCU) revelaram que dados de aproximadamente 40 milhões de segurados do INSS estavam acessíveis sem controle adequado. Senhas de servidores aposentados e exonerados permaneciam ativas, permitindo acesso a informações como valor de benefícios, dados bancários e histórico previdenciário.
Esse acesso indevido alimentou uma indústria de golpes contra aposentados e pensionistas, incluindo empréstimos consignados fraudulentos contratados em nome das vítimas.
Lição: A falta de gestão básica de acessos, como revogar credenciais de ex-funcionários, pode expor milhões de pessoas vulneráveis. Idosos são alvos preferenciais de golpistas que usam dados previdenciários para aplicar fraudes por telefone e mensagens.
O que esses casos revelam sobre segurança digital no Brasil
Os cinco casos acima compartilham padrões preocupantes:
- Falhas básicas de segurança: credenciais não revogadas, falta de criptografia adequada e sistemas desatualizados
- Demora na resposta: em vários casos, os afetados foram notificados semanas ou meses depois do incidente
- Dados usados em golpes: informações vazadas alimentam fraudes por anos após o incidente original
- Punições insuficientes: a ANPD aplicou sua primeira multa apenas em 2023, no valor de R$ 14,4 mil, contra uma microempresa
Com a LGPD em vigor desde 2020, a expectativa era de que vazamentos diminuíssem. Na prática, o volume de dados expostos só cresceu. A ANPD ainda carece de estrutura para fiscalizar milhares de empresas, e muitas organizações tratam proteção de dados como formalidade burocrática.
Como proteger seus dados pessoais
Diante desse cenário, a proteção precisa partir do próprio usuário. Algumas medidas essenciais:
- Use senhas únicas para cada serviço e ative a autenticação em dois fatores sempre que possível
- Monitore seu CPF em serviços como Registrato (Banco Central) para identificar movimentações suspeitas
- Desconfie de contatos inesperados que citam dados pessoais seus, pois podem ter origem em vazamentos
- Escolha apps que priorizem privacidade e que não coletem dados desnecessários
PhizChat: o app de mensagens que não coleta seus dados
Os maiores vazamentos mostram que quanto mais dados uma empresa coleta, maior o risco para o usuário. O PhizChat foi construído com o princípio de minimização de dados: o app coleta apenas o estritamente necessário para funcionar.
Como app de mensagens seguro e brasileiro, o PhizChat oferece criptografia ponta a ponta em todas as conversas, servidores localizados no Brasil (em conformidade com a LGPD) e nenhum compartilhamento de dados com terceiros para fins publicitários. Diferente de apps estrangeiros que monetizam dados dos usuários, o PhizChat trata a privacidade como direito, não como produto.
Em um país onde centenas de milhões de registros já foram expostos, usar um app que simplesmente não coleta o que não precisa é a forma mais eficiente de se proteger. Baixe o PhizChat e mantenha suas conversas fora do alcance do próximo vazamento.
Perguntas frequentes
Quais foram os maiores vazamentos de dados no Brasil?
Os maiores casos incluem o megavazamento de 223 milhões de CPFs em 2021, o ataque ao Ministério da Saúde que expôs dados de 243 milhões de brasileiros, os múltiplos vazamentos de chaves Pix, o ransomware nas Lojas Renner e a exposição de dados de 40 milhões de segurados do INSS.
O que fazer se meus dados foram vazados?
Troque imediatamente as senhas dos serviços afetados, ative a autenticação em dois fatores, monitore seu CPF pelo Registrato do Banco Central e fique atento a contatos suspeitos que citem seus dados pessoais.
A LGPD protege contra vazamentos de dados?
A LGPD prevê multas de até 2% do faturamento da empresa e obriga a notificação de incidentes. Na prática, a fiscalização ainda é limitada, e a melhor proteção vem da escolha de serviços que coletam o mínimo de dados possível.
Qual app de mensagens é mais seguro contra vazamentos?
Apps que aplicam criptografia ponta a ponta e coletam poucos dados oferecem menor risco. O PhizChat, por exemplo, é brasileiro, segue a LGPD e adota o princípio de minimização de dados, reduzindo a superfície de exposição em caso de incidentes.