O elo direto com as ligações e SMS fraudulentos
Um vazamento de dados raramente fica confinado à empresa ou órgão atacado. Uma vez em circulação — em fóruns de hackers, canais de Telegram ou à venda por poucos dólares — as informações que ele contém (nome completo, CPF, telefone, endereço, às vezes dados bancários) viram a matéria-prima de um golpista que personaliza a abordagem em vez de discar aleatoriamente. Quanto mais precisos os dados vazados, mais convincente é a ligação — e mais difícil para a vítima desconfiar.
Brasil: escala e fiscalização em alta
Dois casos recentes mostram a escala do problema no país:
Entre o último trimestre de 2024 e o primeiro semestre de 2025, estimativas de mercado apontam 416 milhões de contas expostas no Brasil no período — uma ordem de grandeza de fontes privadas de cibersegurança, não uma estatística oficial única e certificada.
Nota de método: no caso MORGUE, o valor de 251,7 milhões de registros é a revendicação do criminoso que colocou a base à venda — não uma confirmação oficial. O Ministério da Gestão e da Inovação em Serviços Públicos negou formalmente qualquer invasão ou vazamento de CPF nos sistemas do Gov.br, e a avaliação predominante entre especialistas é que a base provavelmente reúne dados antigos, já vazados em incidentes anteriores, reembalados sob um nome novo para atrair compradores. A revendicação de um atacante e a confirmação oficial de uma organização nem sempre coincidem — uma distinção a manter sempre em mente ao ler notícias sobre vazamentos.
A saúde, um alvo à parte
Um vazamento de dados de saúde não é um vazamento como os outros: diferente de uma senha ou de um cartão de crédito, um histórico médico não pode ser "trocado" depois de exposto. Ele continua válido — e explorável — por tempo indeterminado.
🏥ISAC (Instituto Saúde e Cidadania)
Ataque de ransomware em 2025 tornou inacessíveis os registros digitais do ISAC, organização social que gerencia unidades públicas de saúde em seis estados (Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins). Dados pessoais e sensíveis de cerca de 500 mil pacientes foram expostos — nomes, datas de nascimento, prontuários, históricos de exames e diagnósticos — incluindo 78.772 crianças e adolescentes e 47.921 idosos. A ANPD abriu processo administrativo de sanção contra o instituto por não ter comunicado individualmente os titulares afetados, como exige a LGPD.
Poder360 · CNN Brasil, 2025-2026💊Software de gestão para clínicas
Em 2025, o grupo criminoso KillSec atacou uma fornecedora de software de gestão usada por clínicas brasileiras e expôs mais de 34 GB de dados sensíveis — incluindo exames e prontuários de menores de idade — por causa de um armazenamento em nuvem mal configurado. Segundo a ISH Tecnologia, mais de 11 mil incidentes de segurança foram registrados só no primeiro semestre de 2025, quase todos com impacto direto sobre instituições de saúde.
ISH Tecnologia, relatório de inteligência, 2025Educação e turismo: dois setores que também são alvo
🎓Universidade Cruzeiro do Sul e mais dez instituições
Em 30 de outubro de 2025, um criminoso sob o pseudônimo "darkhackbreach" anunciou em fórum especializado a invasão de 11 instituições de ensino superior brasileiras — Cruzeiro do Sul, Braz Cubas, Unicid, Unifran, UDF, Universidade Positivo, Unipê, FSG, Ceunsp, FAPI Pinhais e Módulo. O atacante alegou ter obtido mais de 3 milhões de registros e 100 mil credenciais ativas de alunos e funcionários (nome completo, CPF, data de nascimento, e-mail, celular e carteirinha institucional). A Cruzeiro do Sul Educacional confirmou ter tomado ciência de um "possível acesso a dados sob sua responsabilidade" e acionou os protocolos da LGPD, sem confirmar o número exato de registros comprometidos — um caso a mais em que a revendicação do atacante e a confirmação da instituição não coincidem exatamente.
TecMundo · Athena Security, outubro de 2025✈️Gol / Smiles
Em 12 de novembro de 2025, a Gol Linhas Aéreas confirmou acesso indevido a um sistema terceirizado do seu programa de fidelidade Smiles. A companhia informou que o impacto ficou limitado a menos de 0,04% da base de clientes, sem comprometimento de senhas ou dados financeiros. Especialistas em segurança apontaram o caso como exemplo de um problema mais amplo: a cadeia de fornecedores terceirizados continua sendo o elo mais frágil da segurança da informação, mesmo quando a empresa contratante não é diretamente invadida.
CryptoID, novembro de 2025O vocabulário a conhecer
Have I Been Pwned
Serviço gratuito criado pelo pesquisador de segurança Troy Hunt: digite seu e-mail para saber se ele aparece em algum vazamento de dados conhecido.
Credential stuffing
Um atacante testa em massa, em outros sites, credenciais roubadas em um vazamento anterior — apostando que você reutiliza a mesma senha em vários lugares.
Password spraying
O inverso da força bruta clássica: o atacante testa uma senha muito comum em um grande número de contas diferentes, para não disparar os sistemas de detecção.
Fadiga de MFA
Um atacante que já possui sua senha dispara uma sequência de notificações de aprovação de login, na esperança de que você acabe aceitando por cansaço ou distração.
O SIM swap, outra técnica ligada diretamente à exploração de dados vazados, está detalhado no glossário.
Perguntas frequentes
Como saber se meus dados vazaram?
O serviço gratuito Have I Been Pwned (haveibeenpwned.com), criado pelo pesquisador de segurança Troy Hunt, permite verificar se o seu e-mail aparece em vazamentos de dados conhecidos. Para o caso específico do vazamento de chaves Pix, o CNJ anunciou um canal oficial de consulta em seu site.
O Brasil é particularmente afetado por vazamentos de dados?
Sim. Só o governo federal registrou 3.253 vazamentos de dados entre janeiro e julho de 2024 — mais do que a soma de 2020 a 2023. E o banco de dados MORGUE, colocado à venda em 2026, expõe 251,7 milhões de registros de CPF, superando o vazamento recorde de 223 milhões de 2021.
Por que um vazamento de dados leva a ligações e SMS fraudulentos?
Porque um vazamento contém frequentemente nome completo, CPF, telefone e às vezes dados bancários — o suficiente para montar uma ligação ou SMS crível e personalizado, muito mais eficaz do que uma mensagem genérica enviada ao acaso.
Por que dados de saúde são especialmente visados pelos criminosos?
Os preços exatos variam enormemente conforme a fonte consultada, então não há um número único confiável a citar — mas o princípio de fundo é claro: diferente de uma senha ou de um cartão, um histórico médico não pode ser "trocado" depois de vazado. Ele continua válido e explorável por tempo indeterminado, o que o torna um ativo de longo prazo para quem monta golpes personalizados.