251 milhões de CPFs estão à venda na dark web

Banco de Dados ‘MORGUE’ e Seus Riscos

Um cibercriminoso conhecido como ‘Buddha’ anunciou, em 18 de abril de 2026, a venda de um banco de dados denominado ‘MORGUE’ na dark web. Este banco contém 251,7 milhões de registros de CPFs, supostamente associados ao portal Gov.br, o que ultrapassa a população brasileira. A plataforma Vecert Threat Intelligence emitiu um alerta sobre a situação, enquanto o Ministério da Gestão e da Inovação em Serviços Públicos negou qualquer invasão em seus sistemas. Especialistas acreditam que essa pode ser uma estratégia de marketing do cibercrime, mas o risco para cidadãos e empresas é real.

O vazamento de dados inclui não apenas os números de CPF, mas também informações como nome completo, gênero, data de nascimento, filiação, raça, cidade de nascimento e, em alguns casos, data de óbito. Esses dados formam um ‘kit básico’ para fraudes, segundo especialistas em cibersegurança. O criminoso ofereceu uma amostra de 20 mil registros para validar a autenticidade do material, que teria sido acessado ilegalmente em 15 de março de 2026.

Reação do Governo e Cautela dos Especialistas

O Ministério da Gestão e da Inovação em Serviços Públicos (MGI) negou a ocorrência de qualquer invasão ou vazamento em seus sistemas, afirmando que suas operações estão normais e sem evidências de acessos não autorizados. No entanto, especialistas do CISO Advisor adotam uma postura mais cautelosa, sugerindo que o caso pode ser uma reestruturação de dados antigos para atrair compradores na dark web.

Essa prática de reciclagem de dados não é nova, mas preocupa os profissionais de segurança, pois a concentração de informações em um único pacote acessível por um preço baixo representa um risco significativo para empresas e cidadãos.

Preço Baixo e Seus Implicações para a Segurança

O preço de US$ 500 pelo banco de dados ‘MORGUE’ é alarmante, especialmente quando comparado ao megavazamento da Serasa Experian em 2021, que foi vendido por US$ 40.000. Essa redução de preço indica que o acesso a dados pessoais em massa está se tornando mais acessível no ecossistema do cibercrime, facilitando a aquisição de informações sensíveis.

Esse cenário amplia os vetores de ataque disponíveis, permitindo que criminosos realizem fraudes, abram contas bancárias em nome de terceiros e executem ataques de engenharia social. Com dados como nome completo, CPF e data de nascimento, as chances de sucesso em fraudes aumentam consideravelmente.

Impactos nas Empresas e Medidas Necessárias

O impacto do vazamento de dados é significativo para as empresas, pois colaboradores, clientes e parceiros podem ter suas informações expostas. Isso aumenta o risco de campanhas de phishing direcionadas, que utilizam dados reais para ganhar credibilidade. Além disso, a situação pressiona as áreas de compliance e proteção de dados, uma vez que a Lei Geral de Proteção de Dados (LGPD) exige monitoramento ativo dos riscos.

Com a possibilidade de multas elevadas, líderes de segurança devem revisar suas políticas de autenticação, especialmente em processos que utilizam CPF como fator de verificação. A combinação de dados disponíveis no ‘MORGUE’ pode comprometer a segurança em diversos setores.

Orientações para Líderes de TI

Frente à incerteza sobre a autenticidade do banco de dados, é essencial que as organizações adotem uma postura de prevenção. Especialistas recomendam reforçar o monitoramento de acessos suspeitos, ativar alertas para uso incomum de credenciais e informar as equipes sobre o aumento do risco de engenharia social.

Além disso, plataformas de inteligência de ameaças devem ser acionadas para verificar se os dados do banco ‘MORGUE’ incluem informações de funcionários ou clientes. A amostra disponibilizada pelo agente ‘Buddha’ já está sendo analisada por pesquisadores independentes.

Fonte por: Its Show