Nas últimas horas de 2025, um dos maiores vazamentos de dados do ano veio à tona em um fórum conhecido por atividades criminosas. Um usuário identificado como “0x0dayToDay” publicou um banco de dados com informações de mais de nove milhões de cidadãos do Estado de Pernambuco. O pacote inclui dados extremamente sensíveis, como CPF, RG, endereço completo, telefones, e-mails e registros ligados à área da saúde.
O caso foi reportado pelo TecMundo às autoridades estaduais, que confirmaram o incidente e apontaram possível responsabilidade de sistemas sob gestão federal.
O que se sabe sobre o vazamento
Segundo a publicação original no BreachForums, os dados teriam relação com sistemas da área da saúde, incluindo integrações associadas ao SUS. O autor não informa quando o vazamento ocorreu, mas utiliza estatísticas populacionais para valorizar o impacto do material divulgado.
Com base em dados do IBGE, Pernambuco teria cerca de 9,56 milhões de habitantes em 2025. O banco vazado contém aproximadamente 9,2 milhões de registros, sendo 8,62 milhões de CPFs ativos. Na prática, isso significa que mais de 93% da população do estado pode ter sido exposta.
O mais preocupante é que o material foi disponibilizado gratuitamente, sem criptografia e sem qualquer tipo de segmentação. Esse tipo de publicação tende a ser rapidamente replicado em outros fóruns e sites da Dark Web, ampliando o dano e dificultando qualquer tentativa de contenção.
Posição oficial da Secretaria Estadual de Saúde
Em nota enviada ao TecMundo em 14 de janeiro de 2026, a Secretaria Estadual de Saúde de Pernambuco (SES-PE) afirmou que os dados vazados são antigos e não se originaram de sistemas sob governança estadual.
De acordo com o órgão, a análise preliminar indica que as informações pertencem a bases de dados da esfera federal. A SES-PE informou ainda que acionou o Data Protection Officer (DPO), conforme previsto na Lei Geral de Proteção de Dados (LGPD), e que está em contato com outras esferas para apurar a origem do incidente.
O que havia no banco de dados
O arquivo original, chamado “PE-9M.db”, possui cerca de 2,8 GB e está estruturado em SQLite, um formato que facilita buscas e cruzamentos de dados. Cada linha representa um cidadão, totalizando pouco mais de 9,19 milhões de registros.
Entre as informações encontradas estão:
-
Dados de identificação, como nome, CPF, CNS e nome social
-
Informações pessoais e familiares, incluindo data de nascimento, filiação e estado civil
-
Dados demográficos, como nacionalidade e local de nascimento
-
Endereço completo, com logradouro, número, bairro e CEP
-
Telefones e endereços de e-mail
-
Documentos oficiais, como RG e órgão emissor
-
Informações administrativas e registros sensíveis, como óbito e naturalização
Nem todos os campos estão preenchidos, mas o volume de dados válidos é alto. Apenas entre pessoas vivas, foram identificados mais de 8,6 milhões de CPFs ativos e quase 7,8 milhões de telefones.
Há indícios de que a base tenha pelo menos três anos, já que a data de nascimento mais recente registrada é de setembro de 2023.
Como esses dados podem ter sido obtidos
O pesquisador de cibersegurança Daniel Barbosa, da ESET, analisou o material e aponta que o vazamento pode ter ocorrido por meio de integrações de software na área da saúde. Segundo ele, ataques desse tipo geralmente exploram vulnerabilidades conhecidas ou falhas de configuração.
Técnicas como SQL Injection continuam sendo amplamente utilizadas, mesmo sendo antigas. Ferramentas automatizadas, como o SQLmap, facilitam a exploração quando sistemas estão expostos ou mal protegidos. Em muitos casos, o problema não é falta de tecnologia, mas falhas na gestão de segurança, como permissões excessivas, contas antigas ainda ativas e softwares desatualizados.
O fato de os dados estarem concentrados em um único banco sugere uma única fonte de origem, possivelmente coletada ao longo do tempo para evitar levantar suspeitas.
Quanto vale um vazamento desses
O valor de um banco de dados na Dark Web varia conforme esforço, exclusividade e qualidade das informações. Bases obtidas a partir de sistemas vulneráveis tendem a valer menos, mas ainda assim podem ser negociadas por centenas de dólares.
Em alguns casos, como este, os dados são liberados gratuitamente, seja para ganhar notoriedade em fóruns criminosos ou para servir de base para novos golpes e cruzamentos com outros vazamentos.
Riscos reais para a população
Dados estruturados desse tipo são matéria-prima para golpes de engenharia social. Com CPF, nome completo, filiação e data de nascimento, criminosos conseguem se passar por bancos, órgãos públicos ou empresas legítimas com alto grau de credibilidade.
Essas informações podem ser usadas para fraudes financeiras, abertura de contas, solicitação de empréstimos e até golpes personalizados contra idosos, crianças e adolescentes. E o risco não expira com o tempo. Dados vazados continuam circulando e sendo reutilizados anos depois, muitas vezes quando as vítimas já baixaram a guarda.
Vazamento gera indenização automática?
Segundo o advogado especialista em crimes cibernéticos Luiz Augusto D’Urso, o simples vazamento de dados não garante indenização automática. O entendimento atual do STJ é que é necessário comprovar prejuízo concreto decorrente do uso indevido das informações.
Por outro lado, quando há fraude, desvio financeiro ou contratação indevida em nome da vítima, as indenizações podem ser significativas, chegando a dezenas de milhares de reais. A responsabilidade recai sobre o controlador dos dados, incluindo entidades públicas e empresas contratadas para operar os sistemas.
Mesmo assim, especialistas recomendam que os cidadãos registrem reclamações formais e boletins de ocorrência, criando histórico e fortalecendo futuras ações judiciais.
Como se proteger após um vazamento
Depois de um incidente dessa magnitude, a atenção precisa ser redobrada. Especialistas recomendam desconfiar de qualquer contato inesperado, mesmo quando a pessoa do outro lado parece ter informações legítimas.
Algumas medidas importantes incluem:
-
Não confirmar dados pessoais por telefone, e-mail ou mensagens
-
Evitar links suspeitos e promessas de indenização ou regularização
-
Monitorar o CPF e movimentações financeiras
-
Ativar autenticação em dois fatores sempre que possível
-
Trocar senhas antigas, principalmente de e-mail e serviços financeiros
Vazamentos de dados não são apenas falhas técnicas. Eles escancaram problemas estruturais de segurança, governança e atualização de sistemas. Enquanto essas fragilidades persistirem, episódios como esse continuarão se repetindo — sempre com impacto direto na vida de milhões de pessoas.
