Um cibercriminoso conhecido como Buddha colocou à venda, na dark web, um banco de dados batizado de MORGUE com 251.720.444 CPFs possivelmente vinculados ao Gov.br, comercializado por apenas US$ 500 em Bitcoin. O alerta foi identificado pela Vecert Threat Intelligence, e o Ministério da Gestão e da Inovação em Serviços Públicos (MGI) negou qualquer invasão aos sistemas do Gov.br.
Segundo o relatório, os registros não se restringem ao CPF. Os dados incluem nome completo, gênero, data de nascimento, filiação (pais), raça, cidade de nascimento e, em parte, data de óbito. Essa combinação representa o que especialistas chamam de um kit básico para fraudes, abrindo caminho para golpes de identidade, abertura de contas e solicitações de crédito em nome de terceiros.
O cibercriminoso, que opera sob o pseudônimo ‘Buddha’, disponibilizou uma amostra gratuita com 20 mil linhas para atestar a autenticidade do material. A suposta violação teria ocorrido em 15 de março de 2026, conforme a análise da Vecert Threat Intelligence. O conjunto ocupa 25,1 GB de dados brutos.
O total de CPFs supera a população atual do Brasil, pois inclui registros de falecidos desde 1965. O Governo afirmou não ter evidências de acesso não autorizado, enquanto especialistas apontam que o vazamento pode ser uma jogada de marketing do cibercrime, com dados reciclados sendo relançados para atrair compradores na dark web.
O preço de US$ 500 chamou a atenção de líderes de TI e de segurança da informação. Em comparações históricas, o maior megavazamento anterior — Serasa Experian, em 2021 — expôs 220 milhões de CPFs e foi vendido por cerca de US$ 40.000. A diferença sugere que o acesso a dados pessoais em massa está se tornando mais acessível para criminosos.
O risco para empresas e cidadãos não é meramente teórico. Dados como nome completo, CPF, data de nascimento e filiação elevam a eficácia de ataques de engenharia social, abertura de contas bancárias, empréstimos e fraudes em órgãos como INSS e FGTS. Além disso, o incidente alimenta a pressão de conformidade com a LGPD, com multas que somam milhões de reais nos últimos anos e previsões de endurecimento da fiscalização.
Especialistas recomendam reforçar políticas de autenticação, monitorar tentativas de acesso incomuns, ativar alertas de uso atípico de credenciais e verificar se há amostras do banco de dados que contenham dados de funcionários ou clientes da organização. Plataformas de threat intelligence devem ser usadas para checar a presença de informações confidenciais em corporações, enquanto permanece a cautela quanto à veracidade da origem do material.
