A suposta base chamada “MORGUE”, anunciada na dark web em abril de 2026, teria reunido 251.720.444 registros de CPFs e dados pessoais de brasileiros. O material estaria sendo comercializado por cerca de US$ 500 em Bitcoin e inclui informações como CPF, nome completo, gênero, filiação, data de nascimento, raça, cidade de nascimento e, em alguns casos, dados de óbito.
Até o momento, a origem e a veracidade da base seguem sob análise. O Ministério da Gestão e da Inovação negou qualquer invasão ao Gov.br, enquanto o CSIRT.DF informou que ainda não foi possível confirmar a origem, autenticidade e integridade do material.
Risco de fraudes e identidade sintética
Especialistas apontam que, mesmo sem confirmação da origem, o principal impacto de bases desse tipo está no uso dos dados para fraudes digitais, engenharia social e criação de identidades sintéticas.
Segundo a LC SEC, a combinação de grandes volumes de dados expostos aumenta a sofisticação de golpes, especialmente em processos de abertura de contas, recuperação de acesso e validação cadastral.
“O risco para as empresas não está apenas no vazamento em si, mas no efeito operacional que ele produz. Bases como essa podem ser usadas para fraudes em cadastros, recuperação indevida de acessos, abertura de contas em nome de terceiros, golpes contra centrais de atendimento e ataques de engenharia social cada vez mais convincentes”, explica.
Limitações do CPF como autenticação
O caso reacende o debate sobre a forma como empresas utilizam dados pessoais como mecanismo de autenticação. Para a LC SEC, informações como CPF, data de nascimento e nome da mãe não devem ser tratadas como fatores de segurança, já que podem estar amplamente expostas em diferentes bases de dados.
“Mesmo que a origem da base MORGUE ainda não esteja confirmada, o alerta é real. O Brasil precisa parar de tratar CPF como senha, porque o CPF identifica uma pessoa, mas não autentica. Quando uma empresa valida um cliente apenas com CPF, data de nascimento ou nome da mãe, ela está usando informações que possivelmente já circulam em bases expostas há anos”, afirma Luiz Claudio, CEO e fundador da empresa.
Recomendações de segurança para empresas
A LC SEC orienta que organizações revisem fluxos de cadastro, onboarding digital, recuperação de conta e atendimento ao cliente que dependam exclusivamente de dados cadastrais.
Entre as medidas recomendadas estão autenticação multifator, análise de risco contextual, monitoramento de credenciais expostas, validação de dispositivos, uso de biometria com prova de vida quando aplicável e mecanismos antifraude baseados em comportamento.
O episódio também reforça a importância de comunicação de incidentes conforme a Resolução CD/ANPD nº 15/2024, que prevê notificação à Autoridade Nacional de Proteção de Dados e aos titulares em até três dias úteis em casos de risco ou dano relevante.
Orientação ao consumidor e contexto regulatório
A recomendação para usuários é evitar fornecer dados pessoais em sites ou serviços não confiáveis que prometem verificar vazamentos. A orientação é utilizar apenas plataformas reconhecidas ou canais oficiais.
“A discussão não deveria ser se o CPF de alguém vazou ou não. O ponto central é entender que dados cadastrais já não podem ser considerados prova de identidade. Empresas que continuarem tratando essas informações como fator principal de autenticação estarão cada vez mais expostas a fraudes, perdas financeiras e danos reputacionais”, conclui.
