Egidio
Dossiê · 2026

Vazamentos de dados no Brasil: a matéria-prima das ligações golpistas

Não é um incidente isolado nem um problema apenas de grandes empresas — é uma matéria-prima em circulação constante que alimenta diretamente as ligações e SMS fraudulentos recebidos todos os dias por milhões de brasileiros.

O elo direto com as ligações e SMS fraudulentos

Um vazamento de dados raramente fica confinado à empresa ou órgão atacado. Uma vez em circulação — em fóruns de hackers, canais de Telegram ou à venda por poucos dólares — as informações que ele contém (nome completo, CPF, telefone, endereço, às vezes dados bancários) viram a matéria-prima de um golpista que personaliza a abordagem em vez de discar aleatoriamente. Quanto mais precisos os dados vazados, mais convincente é a ligação — e mais difícil para a vítima desconfiar.

Brasil: escala e fiscalização em alta

3.253
Vazamentos de dados registrados só pelo governo federal entre janeiro e julho de 2024 — mais do que a soma de todos os casos entre 2020 e 2023.
Governo federal, dados citados por reportagem especializada. Consultado em 16/07/2026.
Até R$ 50 mi
Multa máxima que a ANPD pode aplicar por infração à LGPD. Em junho de 2026 a autoridade abriu 19 novos processos administrativos sancionadores — a maior leva de sua história.
ANPD / LGPD (Lei 13.709/2018). Consultado em 16/07/2026.

Dois casos recentes mostram a escala do problema no país:

Julho de 2025
Vazamento de chaves Pix — falha no Sistema de Busca de Ativos do Poder Judiciário (Sisbajud), que conecta juízes ao Banco Central, expôs 46,8 milhões de chaves Pix pertencentes a 11 milhões de pessoas: nome, CPF, instituição financeira, agência, número de conta e dados da chave Pix. O Banco Central confirmou que senhas e saldos não foram expostos.
2026
MORGUE — banco de dados colocado à venda por um criminoso sob o pseudônimo "Buddha", reunindo 251.720.444 registros de CPF ligados ao portal Gov.br (nome completo, gênero, data de nascimento, filiação, cidade de nascimento e, em parte dos casos, data de óbito). Supera o vazamento recorde anterior de 223 milhões de registros, de 2021, e era oferecido por apenas US$ 500.

Entre o último trimestre de 2024 e o primeiro semestre de 2025, estimativas de mercado apontam 416 milhões de contas expostas no Brasil no período — uma ordem de grandeza de fontes privadas de cibersegurança, não uma estatística oficial única e certificada.

Nota de método: no caso MORGUE, o valor de 251,7 milhões de registros é a revendicação do criminoso que colocou a base à venda — não uma confirmação oficial. O Ministério da Gestão e da Inovação em Serviços Públicos negou formalmente qualquer invasão ou vazamento de CPF nos sistemas do Gov.br, e a avaliação predominante entre especialistas é que a base provavelmente reúne dados antigos, já vazados em incidentes anteriores, reembalados sob um nome novo para atrair compradores. A revendicação de um atacante e a confirmação oficial de uma organização nem sempre coincidem — uma distinção a manter sempre em mente ao ler notícias sobre vazamentos.

A saúde, um alvo à parte

Um vazamento de dados de saúde não é um vazamento como os outros: diferente de uma senha ou de um cartão de crédito, um histórico médico não pode ser "trocado" depois de exposto. Ele continua válido — e explorável — por tempo indeterminado.

🏥ISAC (Instituto Saúde e Cidadania)

Ataque de ransomware em 2025 tornou inacessíveis os registros digitais do ISAC, organização social que gerencia unidades públicas de saúde em seis estados (Goiás, Rio Grande do Sul, Bahia, Alagoas, Piauí e Tocantins). Dados pessoais e sensíveis de cerca de 500 mil pacientes foram expostos — nomes, datas de nascimento, prontuários, históricos de exames e diagnósticos — incluindo 78.772 crianças e adolescentes e 47.921 idosos. A ANPD abriu processo administrativo de sanção contra o instituto por não ter comunicado individualmente os titulares afetados, como exige a LGPD.

Poder360 · CNN Brasil, 2025-2026

💊Software de gestão para clínicas

Em 2025, o grupo criminoso KillSec atacou uma fornecedora de software de gestão usada por clínicas brasileiras e expôs mais de 34 GB de dados sensíveis — incluindo exames e prontuários de menores de idade — por causa de um armazenamento em nuvem mal configurado. Segundo a ISH Tecnologia, mais de 11 mil incidentes de segurança foram registrados só no primeiro semestre de 2025, quase todos com impacto direto sobre instituições de saúde.

ISH Tecnologia, relatório de inteligência, 2025

Educação e turismo: dois setores que também são alvo

🎓Universidade Cruzeiro do Sul e mais dez instituições

Em 30 de outubro de 2025, um criminoso sob o pseudônimo "darkhackbreach" anunciou em fórum especializado a invasão de 11 instituições de ensino superior brasileiras — Cruzeiro do Sul, Braz Cubas, Unicid, Unifran, UDF, Universidade Positivo, Unipê, FSG, Ceunsp, FAPI Pinhais e Módulo. O atacante alegou ter obtido mais de 3 milhões de registros e 100 mil credenciais ativas de alunos e funcionários (nome completo, CPF, data de nascimento, e-mail, celular e carteirinha institucional). A Cruzeiro do Sul Educacional confirmou ter tomado ciência de um "possível acesso a dados sob sua responsabilidade" e acionou os protocolos da LGPD, sem confirmar o número exato de registros comprometidos — um caso a mais em que a revendicação do atacante e a confirmação da instituição não coincidem exatamente.

TecMundo · Athena Security, outubro de 2025

✈️Gol / Smiles

Em 12 de novembro de 2025, a Gol Linhas Aéreas confirmou acesso indevido a um sistema terceirizado do seu programa de fidelidade Smiles. A companhia informou que o impacto ficou limitado a menos de 0,04% da base de clientes, sem comprometimento de senhas ou dados financeiros. Especialistas em segurança apontaram o caso como exemplo de um problema mais amplo: a cadeia de fornecedores terceirizados continua sendo o elo mais frágil da segurança da informação, mesmo quando a empresa contratante não é diretamente invadida.

CryptoID, novembro de 2025

O vocabulário a conhecer

Have I Been Pwned

Serviço gratuito criado pelo pesquisador de segurança Troy Hunt: digite seu e-mail para saber se ele aparece em algum vazamento de dados conhecido.

Credential stuffing

Um atacante testa em massa, em outros sites, credenciais roubadas em um vazamento anterior — apostando que você reutiliza a mesma senha em vários lugares.

Password spraying

O inverso da força bruta clássica: o atacante testa uma senha muito comum em um grande número de contas diferentes, para não disparar os sistemas de detecção.

Fadiga de MFA

Um atacante que já possui sua senha dispara uma sequência de notificações de aprovação de login, na esperança de que você acabe aceitando por cansaço ou distração.

O SIM swap, outra técnica ligada diretamente à exploração de dados vazados, está detalhado no glossário.

🔒 Seus dados podem ter vazado sem que você tenha feito nada de errado — mas a proteção continua possível depois disso: o Egidio reconhece os padrões de ligações e SMS construídos a partir de dados roubados, mesmo quando personalizados. Veja como funciona a proteção.

Perguntas frequentes

Como saber se meus dados vazaram?

O serviço gratuito Have I Been Pwned (haveibeenpwned.com), criado pelo pesquisador de segurança Troy Hunt, permite verificar se o seu e-mail aparece em vazamentos de dados conhecidos. Para o caso específico do vazamento de chaves Pix, o CNJ anunciou um canal oficial de consulta em seu site.

O Brasil é particularmente afetado por vazamentos de dados?

Sim. Só o governo federal registrou 3.253 vazamentos de dados entre janeiro e julho de 2024 — mais do que a soma de 2020 a 2023. E o banco de dados MORGUE, colocado à venda em 2026, expõe 251,7 milhões de registros de CPF, superando o vazamento recorde de 223 milhões de 2021.

Por que um vazamento de dados leva a ligações e SMS fraudulentos?

Porque um vazamento contém frequentemente nome completo, CPF, telefone e às vezes dados bancários — o suficiente para montar uma ligação ou SMS crível e personalizado, muito mais eficaz do que uma mensagem genérica enviada ao acaso.

Por que dados de saúde são especialmente visados pelos criminosos?

Os preços exatos variam enormemente conforme a fonte consultada, então não há um número único confiável a citar — mas o princípio de fundo é claro: diferente de uma senha ou de um cartão, um histórico médico não pode ser "trocado" depois de vazado. Ele continua válido e explorável por tempo indeterminado, o que o torna um ativo de longo prazo para quem monta golpes personalizados.

Para saber mais