Suposto vazamento expõe dados de 248 milhões de brasileiros

Um grupo cibercriminoso anunciou nesta quarta-feira (10) a venda de um suposto banco de dados contendo informações de aproximadamente 248 milhões de cidadãos brasileiros. Segundo os responsáveis pela oferta, o material teria sido obtido diretamente de sistemas da Receita Federal e incluiria mais de 1 bilhão de registros relacionados a pessoas físicas e jurídicas.

Apesar das alegações e dos indícios encontrados na análise preliminar do material divulgado, a autenticidade do vazamento ainda não foi confirmada oficialmente pelas autoridades brasileiras.

O caso já está sendo analisado pelos órgãos competentes após a documentação coletada ser compartilhada para investigação.

Base de dados teria mais de 1 bilhão de registros

De acordo com os criminosos, o conjunto de dados contém cerca de 1,08 bilhão de registros únicos distribuídos em 24 bancos de dados no formato SQLite.

Após descompactado, o material ocuparia aproximadamente 78,7 GB e incluiria informações detalhadas sobre cidadãos e empresas brasileiras.

Entre os dados supostamente disponíveis estariam:

Nome completo;
CPF;
Data de nascimento;
Nome da mãe;
Endereço residencial;
Telefones;
Endereços de e-mail;
Informações empresariais;
Relações societárias;
Dados cadastrais;
Histórico de consultas internas.

Por utilizar bancos de dados estruturados, o conteúdo poderia ser facilmente pesquisado e correlacionado por eventuais compradores.

Análise preliminar aponta sinais de autenticidade

Para comprovar a legitimidade da oferta, os criminosos disponibilizaram amostras contendo aproximadamente 100 registros de cada uma das 24 bases de dados.

Uma análise inicial identificou diversos elementos compatíveis com estruturas normalmente utilizadas em sistemas governamentais.

Entre os indícios observados estão:

CPFs e CNPJs com dígitos verificadores válidos;
Tabelas de referência compatíveis com padrões da Receita Federal;
Relação completa das 27 unidades federativas;
Cadastro de 5.501 municípios;
Lista de 241 países;
Códigos DDD compatíveis com os padrões da Anatel;
Estruturas cadastrais coerentes com bases tributárias brasileiras.

Além disso, os números apresentados pelos criminosos demonstram compatibilidade com a escala dos registros existentes no país.

Segundo a documentação divulgada, a base conteria:

248,8 milhões de CPFs;
41,6 milhões de CNPJs;
290,5 milhões de registros cadastrais gerais.

Caso a autenticidade seja confirmada, o incidente teria potencial para afetar praticamente todos os cidadãos brasileiros vivos, além de pessoas falecidas e estrangeiros cadastrados no sistema tributário nacional.

Dados sensíveis aumentam a gravidade do caso

Entre os elementos mais preocupantes estão informações que normalmente não aparecem em vazamentos convencionais.

Segundo a amostra analisada, os registros incluem:

Nome da mãe;
Telefones;
Endereços de e-mail;
Histórico de consultas internas;
Relações familiares;
Dados ocupacionais.

A combinação dessas informações pode facilitar golpes de engenharia social, fraudes financeiras, roubo de identidade e ataques direcionados contra indivíduos e organizações.

Especialistas alertam que quanto maior a quantidade de dados correlacionados sobre uma pessoa, maior o potencial de abuso por parte de criminosos.

Grupo Buddha reivindica autoria da extração

O grupo internacional conhecido como Buddha respondeu a questionamentos sobre a origem do material e afirmou que os dados não fazem parte de vazamentos antigos reaproveitados.

Segundo os criminosos, o banco de dados teria sido extraído diretamente em 2026 a partir da exploração de um sistema legado da Receita Federal.

Os responsáveis não detalharam qual vulnerabilidade foi utilizada nem forneceram evidências técnicas que comprovem a invasão.

Eles alegam ainda que o acesso ao ambiente comprometido permanece ativo e que existem outros sistemas mais sensíveis sob seu controle.

Até o momento, essas declarações não puderam ser verificadas de forma independente.

Banco de dados estaria sendo vendido por US$ 1.300

De acordo com o anúncio publicado no fórum clandestino, todo o conjunto de dados está sendo oferecido por US$ 1.300, valor equivalente a cerca de R$ 6.750 na cotação atual.

Os criminosos também compartilharam uma captura de tela que supostamente mostra o arquivo principal da base de pessoas físicas contendo aproximadamente 248,9 milhões de registros.

Caso verdadeiro, o volume de informações reunidas em uma única estrutura organizada representaria um dos maiores conjuntos de dados pessoais já disponibilizados para venda envolvendo cidadãos brasileiros.

O que fazer diante de possíveis vazamentos de dados

Mesmo sem confirmação oficial, especialistas recomendam que cidadãos mantenham boas práticas de segurança digital.

Entre as medidas recomendadas estão:

Utilizar autenticação em dois fatores sempre que possível;
Desconfiar de contatos inesperados por telefone, e-mail ou aplicativos de mensagens;
Monitorar movimentações financeiras e cadastros realizados em seu nome;
Atualizar senhas de serviços críticos regularmente;
Evitar compartilhar informações pessoais sem necessidade.

Em cenários de grandes vazamentos, criminosos costumam utilizar os dados obtidos para criar golpes mais convincentes e direcionados às vítimas.

Caso ainda aguarda confirmação oficial

Embora a documentação divulgada apresente elementos compatíveis com bases reais e tenha chamado a atenção de pesquisadores de segurança, não existe até o momento uma confirmação oficial da Receita Federal sobre a autenticidade do material.

Por esse motivo, o caso deve ser tratado com cautela até que as investigações sejam concluídas.

Se confirmado, o incidente poderá figurar entre os maiores vazamentos de dados já registrados no Brasil, tanto pelo volume de informações envolvidas quanto pelo potencial impacto sobre cidadãos, empresas e instituições públicas.