251 milhões de CPFs são vendidos por US$ 500 na dark web
O mercado clandestino de dados pessoais acaba revelando uma mudança drástica de cenário e o preço ajuda a explicar o motivo.
Em abril de 2026, um banco de dados com mais de 251 milhões de registros de CPF foi colocado à venda por apenas US$ 500 na dark web, valor até 80 vezes inferior ao observado em grandes incidentes anteriores, como o vazamento da Serasa Experian em 2021, que envolveu 220 milhões de CPFs e foi negociado por US$ 40 mil.
O alerta foi divulgado em 18 de abril de 2026, por meio do Threat Intelligence Report #5084 da plataforma Vecert Threat Intelligence.
Segundo o relatório, um agente cibernético identificado como “Buddha” estaria comercializando um conjunto de dados denominado MORGUE, supostamente obtido a partir do portal Gov.br. O material conteria 251.720.444 registros, número que ultrapassa a população brasileira estimada em cerca de 212 milhões de habitantes, o que se explica pela inclusão de CPFs de pessoas falecidas desde 1965.
Embora o Ministério da Gestão e da Inovação em Serviços Públicos tenha negado qualquer comprometimento dos sistemas do Gov.br, especialistas em proteção de dados consideram a possibilidade de que o episódio seja uma estratégia de reembalagem de bases antigas, relançadas no submundo digital com nova identidade para fins comerciais. Ainda assim, a eventual origem dos dados perde relevância diante de um fato mais concreto: essas informações já estão em circulação.
De acordo com o relatório, o conteúdo vai além de simples números de documentos. Cada registro incluiria dados como nome completo, gênero, data de nascimento, filiação, raça, cidade de nascimento e, em alguns casos, até data de óbito.
Trata-se, na prática, de um conjunto considerado suficiente para viabilizar fraudes digitais, formando o que especialistas classificam como um “kit básico” para golpes.
Para aumentar a credibilidade da oferta, o próprio vendedor teria disponibilizado uma amostra gratuita com 20 mil linhas. Pesquisadores independentes já iniciaram análises sobre esse material. O suposto acesso indevido aos dados teria ocorrido em 15 de março de 2026, conforme indicado no documento técnico.
A consequência imediata dessa nova realidade é a redução quase total da barreira de entrada para agentes mal-intencionados. Com um custo tão baixo, dados massivos tornam-se acessíveis a um número muito maior de criminosos, o que impacta diretamente a segurança de sistemas que ainda utilizam CPF, nome e data de nascimento como mecanismos primários de validação de identidade.
Nesse contexto, aplicações digitais passam a enfrentar um cenário crítico: dados antes tratados como “privados” deixaram de ser confiáveis como fator de autenticação. Processos como onboarding digital, recuperação de senha baseada em informações cadastrais e validações simplificadas de identidade tornam-se altamente vulneráveis.
A resposta técnica exige revisão imediata das arquiteturas de autenticação.
Especialistas em proteção de dados recomendam a adoção de camadas adicionais de segurança, como autenticação multifator, tokens de uso único, biometria comportamental, validação de dispositivos e mecanismos dinâmicos de verificação baseados em contexto.
A lógica é clara: confiar exclusivamente em dados estáticos já não é uma opção viável
Além do risco operacional, há também implicações regulatórias relevantes.
A Lei Geral de Proteção de Dados impõe às empresas o dever de monitorar continuamente os riscos envolvendo dados pessoais, independentemente da origem do incidente.
Entre 2023 e 2025, a Agência Nacional de Proteção de Dados aplicou diversas multas, indicando uma tendência de fiscalização cada vez mais rigorosa.
Isso significa que, em caso de fraudes decorrentes do uso desses dados, não será suficiente alegar que as informações já estavam previamente expostas.
A responsabilização poderá recair sobre empresas que não adotarem medidas adequadas de mitigação.
Outro efeito direto desse tipo de exposição é o avanço do chamado spear phishing, com acesso a dados detalhados, criminosos conseguem elaborar comunicações altamente personalizadas, aumentando significativamente as chances de sucesso dos ataques e reduzindo a eficácia de filtros tradicionais de segurança.
Diante desse cenário, medidas práticas devem ser incorporadas com urgência.
Entre elas, destacam-se o mapeamento de pontos da aplicação que utilizam CPF, a revisão da real necessidade desses dados, a implementação de controles para evitar abusos, o registro estruturado de logs e a integração com plataformas de inteligência de ameaças.
O episódio envolvendo o MORGUE, independentemente de sua autenticidade integral, representa um ponto de inflexão.
Dados pessoais em larga escala deixaram de ser um recurso escasso e passaram a circular com facilidade no ambiente digital clandestino. Como consequência, sistemas que ainda tratam CPF como informação sigilosa operam com um modelo ultrapassado.
A partir de agora, o desafio para desenvolvedores e empresas é claro: construir soluções capazes de resistir a um cenário em que dados pessoais básicos estão amplamente disponíveis.
A segurança, nesse novo contexto, deixa de ser um diferencial e passa a ser um requisito estrutural.
Diante disso, uma pergunta se impõe: se todos os CPFs do país estivessem publicamente acessíveis, sua aplicação continuaria segura? A resposta a essa questão tende a definir o nível de preparo das empresas para enfrentar a próxima fase dos riscos digitais.