O megavazamento de dados no Brasil atingiu uma escala sem precedentes com a descoberta da base “MORGUE”. Um criminoso digital sob o pseudônimo “Buddha” colocou à venda 251.720.444 registros de CPFs vinculados ao portal Gov.br. O volume supera a marca de 223 milhões de registros expostos em 2021 e inclui informações detalhadas de cidadãos vivos e falecidos, totalizando 25,1 GB de arquivos brutos. A informação foi revelada pela empresa de inteligência de ameças Vecert.
Anatomia do banco de dados MORGUE
Um detalhe técnico explica por que o número de registros supera a população atual do país: o CPF é emitido no Brasil desde 1965, acumulando décadas de cadastros de pessoas já falecidas. A base alegadamente inclui status e data de óbito, raça e cidade de nascimento, campos que confirmam a presença de registros históricos. Para tentar provar a autenticidade do material, o vendedor disponibilizou gratuitamente uma amostra com 20 mil linhas.”
A cronologia da invasão e a falha de supervisão
Segundo o rastro digital deixado pelo invasor, as informações foram extraídas em 15 de março de 2025. O incidente ocorre em um cenário de fragilidade das instituições responsáveis pela guarda desses ativos. A Autoridade Nacional de Proteção de Dados (ANPD) enfrenta críticas pela baixa efetividade na imposição de sanções que forcem investimentos em infraestrutura de segurança cibernética, tanto em órgãos públicos quanto no setor privado.
Riscos imediatos
A exposição dessas informações facilita a execução de crimes de engenharia social, abertura de contas bancárias fraudulentas e clonagem de identidades. Com dados de filiação e datas específicas em mãos, criminosos conseguem transpor barreiras de autenticação que dependem de perguntas de segurança. O caso reforça o histórico de negligência com o Cadastro de Pessoas Físicas, que se tornou um ativo circulante no mercado clandestino de dados.
Até a publicação desta reportagem, nem o Governo Federal, nem a ANPD emitiram comunicado oficial confirmando ou negando o vazmento.
