Português 
Inglês 
Espanhol 
7 min de leitura 
0 comentários 
Grupo criminoso anunciou um banco de dados com CPFs, endereços e telefones, mas o órgão federal afirma que não houve comprometimento de seus sistemas e relaciona o material a um incidente antigo
Uma oferta publicada em um fórum utilizado por cibercriminosos colocou milhões de brasileiros em alerta nesta semana. O grupo responsável pelo anúncio alegou possuir uma base com aproximadamente 248,8 milhões de registros de CPF, além de informações de empresas, endereços, telefones, ocupações e vínculos societários.
O caso começou a ganhar repercussão na quarta-feira, 10 de junho de 2026, quando o material foi divulgado como se tivesse sido retirado de um sistema da Receita Federal. Os vendedores afirmaram que os arquivos somariam cerca de 78,7 gigabytes e conteriam mais de 1 bilhão de registros distribuídos por diferentes tabelas.
A Receita Federal, entretanto, publicou uma nota na manhã de quinta-feira, 11 de junho, negando que seus sistemas tenham sido invadidos ou que suas bases tenham sido comprometidas. O órgão classificou a informação sobre um ataque recente como falsa e afirmou que os dados seriam antigos, majoritariamente referentes a 2019.
-
Arqueólogos escavaram uma cachoeira na Zâmbia e encontraram madeira trabalhada antes mesmo do Homo sapiens existir: troncos encaixados de 476 mil anos podem ser a construção mais antiga já feita por ancestrais humanos
-
Cidade brasileira vem sendo engolida pelo mar há décadas, já perdeu mais de 500 casas e até um prédio em faixa de 2 km, enquanto erosão costeira ameaça praias no Chile, Colômbia, Argentina, Uruguai, Peru e Caribe e transforma ruas, comércios e memórias em áreas tomadas pela água
-
Pela primeira vez em mil anos as duas principais falhas do sul da Califórnia estariam sob tensão máxima ao mesmo tempo, indica um modelo da Universidade de Berna, um alinhamento que no passado precedeu rupturas conjuntas, ainda que o estudo não estabeleça nenhuma data
-
Andares inteiros do Pentágono foram esvaziados nesta quinta (11/06) e uma equipe especializada em materiais perigosos correu ao local, em um susto que, segundo a CNN, partiu de uma ameaça, enquanto o prédio falava apenas em um problema na qualidade do ar
Até o momento, portanto, não existe confirmação independente de que tenha ocorrido um novo vazamento dentro da Receita Federal. A existência de uma base com informações aparentemente verdadeiras não comprova, por si só, que esses dados tenham sido retirados diretamente dos sistemas do órgão.
Anúncio prometia mais de 1 bilhão de registros organizados
Segundo informações publicadas pelo TecMundo, o grupo criminoso ofereceu uma amostra formada por aproximadamente 100 linhas de cada um dos 24 arquivos apresentados. Os documentos estariam armazenados no formato SQLite, que permite organizar e pesquisar grandes volumes de informações com relativa facilidade.
Entre as supostas tabelas anunciadas estavam cadastros de pessoas físicas e jurídicas, endereços, números telefônicos, nomes de mães, datas de nascimento, ocupações, atividades empresariais, sócios e situações cadastrais. Os vendedores também alegaram possuir informações relacionadas a cerca de 41,6 milhões de CNPJs.
A quantidade de CPFs mencionada não significa necessariamente que 248 milhões de brasileiros vivos tenham sido atingidos. Uma base dessa natureza pode conter registros de pessoas falecidas, estrangeiros inscritos no CPF, cadastros antigos, duplicidades e informações reunidas a partir de diferentes fontes.
Receita Federal diz que não houve invasão dos sistemas
De acordo com a nota oficial publicada pela Receita Federal, a oferta criminosa seria baseada na recirculação de um banco de dados antigo, conhecido pelas autoridades e divulgado desde 2021. O órgão informou que as informações são majoritariamente de 2019 e não teriam relação com um incidente ocorrido em seus sistemas em 2026.
A instituição também destacou que a presença de um CPF em determinado conjunto de dados não permite identificar automaticamente sua origem. O número é utilizado há décadas por bancos, lojas, operadoras de telefonia, órgãos públicos, empresas de análise de crédito e inúmeras outras organizações.
Na avaliação apresentada pelo órgão, criminosos podem associar uma base antiga à Receita Federal para aumentar a credibilidade do anúncio e elevar o valor comercial do material. Bases organizadas, com nomes de tabelas semelhantes aos utilizados pelo poder público, também podem ser montadas com informações obtidas de diferentes vazamentos.
A Receita declarou ainda que continua monitorando o episódio em conjunto com os órgãos competentes. A nota, contudo, não detalhou quais análises técnicas foram realizadas para relacionar os arquivos ao vazamento antigo nem informou se todo o material oferecido no fórum já foi examinado.
Amostras aparentemente verdadeiras não comprovam a origem
A análise inicial das amostras encontrou CPFs e CNPJs com dígitos verificadores válidos, além de códigos de estados, municípios, países, naturezas jurídicas e atividades econômicas compatíveis com padrões utilizados no Brasil. Essa coerência aumenta a possibilidade de que pelo menos parte das informações seja real.
Um CPF matematicamente válido, porém, não comprova que o registro pertence a uma pessoa existente nem revela de qual sistema ele foi retirado. Programas simples conseguem verificar ou até gerar combinações compatíveis com as regras de formação desses documentos.
Outro ponto importante é que diversas informações atribuídas ao suposto vazamento podem ser obtidas em cadastros públicos ou semipúblicos. Dados de empresas, nomes de sócios, atividades econômicas, endereços comerciais e situações cadastrais, por exemplo, aparecem em diferentes serviços de consulta.
Informações como nome da mãe, telefone pessoal, e-mail, endereço residencial e data de nascimento aumentam a gravidade quando aparecem vinculadas ao mesmo CPF. Ainda assim, esses elementos também podem ter sido reunidos a partir de incidentes anteriores envolvendo empresas privadas, plataformas digitais ou serviços públicos.
Há ainda uma diferença entre demonstrar que uma base contém dados verdadeiros e provar que ela foi retirada recentemente de uma instituição específica. A origem, a data da coleta e o método utilizado pelos criminosos continuam sem comprovação pública.
Caso antigo atingiu mais de 220 milhões de registros
O episódio citado pela Receita remete ao grande vazamento revelado no início de 2021. Naquele período, uma base atribuída inicialmente a empresas de análise de crédito teria reunido informações de mais de 220 milhões de pessoas, número que também incluía registros de cidadãos falecidos.
A Autoridade Nacional de Proteção de Dados informou, em janeiro daquele ano, que estava realizando uma apuração técnica e que havia solicitado esclarecimentos a empresas e órgãos como Polícia Federal, Comitê Gestor da Internet e Gabinete de Segurança Institucional. A origem completa daquele banco de dados permaneceu cercada por dúvidas, apesar da ampla circulação das informações em ambientes criminosos.
Dados antigos ainda podem ser usados em novos golpes
Mesmo que o material anunciado em junho de 2026 seja uma cópia ou reorganização de dados antigos, o risco para os cidadãos não desaparece. Informações pessoais raramente perdem totalmente o valor, principalmente quando incluem CPF, nome completo, filiação e data de nascimento.
Criminosos podem cruzar cadastros antigos com dados atuais encontrados em redes sociais, aplicativos de mensagens e páginas públicas. Esse processo permite criar golpes personalizados, nos quais o fraudador conhece detalhes suficientes para conquistar a confiança da vítima.
Um dos riscos mais comuns é o envio de mensagens sobre falsas pendências fiscais, restituições do Imposto de Renda, bloqueios de CPF ou cobranças inexistentes. Ao mencionar informações verdadeiras, o golpista tenta convencer o contribuinte de que possui acesso a um sistema oficial.
Em alerta divulgado anteriormente, a Receita explicou que fraudadores chegam a utilizar nome, CPF e endereço reais em páginas que imitam o portal gov.br. Pendências fiscais legítimas devem ser verificadas diretamente no e-CAC, sem acessar links recebidos por WhatsApp, SMS, redes sociais ou e-mail.
Como aumentar a proteção contra fraudes com CPF
O primeiro cuidado é não entrar em pânico nem pagar por serviços que prometem retirar o CPF de bancos de dados clandestinos. Não existe um procedimento capaz de apagar todas as cópias de uma informação que já circula ilegalmente na internet.
Também não é necessário trocar imediatamente a senha do gov.br apenas porque o CPF pode estar em uma base. A troca se torna recomendável quando existem sinais de acesso indevido, quando a senha foi exposta ou quando a mesma combinação é utilizada em outros serviços.
Segundo as orientações do Governo Digital, usuários que identificarem atividades suspeitas devem alterar a senha, habilitar a verificação em duas etapas, revisar os dispositivos autorizados e cadastrar um e-mail seguro para recuperação da conta. A plataforma permite excluir aparelhos e navegadores desconhecidos pelo aplicativo oficial.
O cidadão também pode consultar o Registrato para verificar contas bancárias, empréstimos, financiamentos e chaves Pix vinculados ao seu nome. O serviço BC Protege+ permite informar às instituições financeiras que a pessoa não deseja abrir novas contas naquele momento, reduzindo o risco de abertura fraudulenta com documentos falsos.
Outra ferramenta importante é a Permissão para Participar de CNPJ, disponível pela Redesim. O recurso possibilita impedir que o CPF seja incluído como sócio ou responsável por uma empresa sem autorização, podendo ser temporariamente desativado quando o próprio cidadão precisar abrir ou integrar um negócio.
Confirmação de um incidente exigiria comunicação aos afetados
As regras brasileiras determinam que um incidente confirmado capaz de causar risco ou dano relevante deve ser comunicado à Agência Nacional de Proteção de Dados e aos titulares atingidos. O regulamento da ANPD estabelece prazo geral de três dias úteis, salvo quando outra legislação determinar período diferente.
Essa obrigação depende da confirmação de que houve uma violação e da avaliação sobre o potencial de prejuízo. Uma publicação criminosa sem origem comprovada não equivale automaticamente a um incidente confirmado dentro da organização apontada pelos vendedores.
Caso novas análises técnicas encontrem evidências de extração recente ou informações que não façam parte das bases antigas, o cenário poderá mudar. Por enquanto, a posição oficial é de que não houve invasão, vazamento ou comprometimento das bases da Receita Federal.
Seja o primeiro a reagir!