Megavazamento "MORGUE": 251 milhões de CPFs brasileiros à venda na dark web
Vazamento críticoUm cibercriminoso identificado como "Buddha" colocou à venda um banco de dados chamado MORGUE contendo 251,7 milhões de registros de CPFs brasileiros — incluindo nome completo, data de nascimento, filiação, gênero, raça e cidade de origem. O alerta foi publicado pela plataforma Vecert Threat Intelligence em abril e ganhou repercussão crescente nas últimas semanas. O governo federal negou invasão ao Gov.br, e especialistas avaliam que pode ser uma reorganização de vazamentos anteriores. Mas a origem pouco importa na prática: se esses dados circulam, serão usados.
O risco imediato para o usuário comum é o spear phishing personalizado — golpistas com seu nome, CPF, data de nascimento e filiação em mãos conseguem montar mensagens altamente convincentes, se passando por banco, Receita Federal ou operadora com dados que parecem legítimos. Se você receber qualquer contato não solicitado que mencione seus dados pessoais corretos, isso não é prova de que o remetente é legítimo — é sinal de que seus dados vazaram.
iMasters — Vazamento de 251 milhões de CPFs e o alerta2026 pode ser o ano mais crítico em ciberataques da história do Brasil
Alto riscoEspecialistas da ViperX e do Grupo Dfense apontam que o Brasil entra em 2026 com a maior superfície de risco já registrada. Após o maior ataque ao ecossistema financeiro brasileiro em 2025 — quando credenciais comprometidas permitiram desvios superiores a R$ 1 bilhão via Pix em contas reservas do Banco Central — o cenário para 2026 combina ransomware em ascensão, golpes potencializados por IA e ataques à cadeia de fornecedores.
O setor financeiro responde por mais de 40% dos incidentes registrados. Para o usuário comum, a ameaça mais direta são os golpes híbridos: ataques que combinam e-mail, WhatsApp, SMS e ligação telefônica ao longo de dias ou semanas para construir confiança antes do golpe final. O criminoso pode passar tempo interagindo como se fosse um funcionário do banco antes de pedir a transferência.
TI Inside — Brasil deve enfrentar o ano mais crítico em ciberataquesDígitro Tecnologia: vazamento expõe sistemas de interceptação de 150 órgãos do governo
GovernamentalO CTIR Gov (órgão federal de resposta a incidentes cibernéticos) publicou em abril a Recomendação 05/2026, classificando como crítico o vazamento de dados, código-fonte e documentos internos da Dígitro Tecnologia — empresa que fornece o sistema Guardião, usado para interceptações legais de voz e dados por mais de 150 instituições governamentais e órgãos de segurança pública. O caso é considerado um ataque de cadeia de suprimentos: em vez de atacar diretamente os órgãos governamentais, os criminosos comprometeram um fornecedor com acesso a todos eles.
Para o cidadão comum, o impacto direto é indireto mas relevante: a exposição da arquitetura desses sistemas pode facilitar que criminosos identifiquem brechas ou desenvolvam ferramentas para evitar monitoramento. O caso reforça a fragilidade de terceiros como elo mais vulnerável da segurança digital no Brasil.
Information Management — Vazamentos reforçam preocupação com cadeia de exposição cibernéticaGolpes com IA: deepfake de voz e identidade sintética são as novas armas dos criminosos
IA e FraudeA combinação de CPFs vazados, dados de redes sociais e documentos falsificados por inteligência artificial está permitindo a criação de identidades sintéticas — perfis falsos mas tecnicamente coerentes que passam por validações automatizadas de bancos e fintechs. Em paralelo, o deepfake de voz evoluiu ao ponto de ser gerado com poucos segundos de áudio e usado em chamadas telefônicas em tempo real, se passando por parentes ou executivos para solicitar transferências urgentes.
Segundo o Anuário Brasileiro de Segurança Pública 2025, foram registrados 2,1 milhões de casos de estelionato em 2024 — alta de 408% em relação a 2018. Cerca de 4 golpes são aplicados por minuto no Brasil. Idosos e pequenos empreendedores seguem como os alvos mais vulneráveis, por serem mais suscetíveis à autoridade aparente e à urgência emocional.
BRCondo — Principais fraudes de 2026 e alerta sobre uso de IA- Seus dados provavelmente já circulam. Não espere confirmação oficial para agir. Trate nome, CPF e data de nascimento como informações que qualquer golpista pode ter.
- Ative o alerta de movimentação no app do seu banco. Qualquer transação deve gerar notificação imediata — assim você percebe acesso indevido em tempo real.
- Desconfie de qualquer contato que "prove" sua identidade mencionando seus dados pessoais. Isso não é sinal de legitimidade — é sinal de que os dados vazaram.
- Crie uma palavra-código com familiares próximos para confirmar pedidos urgentes de dinheiro por ligação ou áudio — mesmo que a voz pareça familiar, peça a palavra antes de qualquer transferência.
- Verifique se suas senhas já vazaram usando a ferramenta de checagem de vazamento — ela usa k-anonymity e nunca envia sua senha completa para nenhum servidor.
Use a ferramenta de verificação de vazamento — ela verifica de forma segura e anônima se sua senha apareceu em algum banco de dados comprometido.
Verificar minha senha agoraEste boletim é publicado toda segunda-feira com base em notícias e dados verificados de fontes públicas. Os links de referência levam diretamente às fontes originais. Nenhuma informação é patrocinada ou tem relação comercial com as fontes citadas.