O Brasil está no centro de duas das maiores violações de dados da história recente. Um banco de dados chamado “MORGUE”, com 251 milhões de registros de CPF, foi colocado à venda em fórum de cibercrime por apenas US$ 500 em Bitcoin — e, na mesma semana, dados sigilosos dos Correios (ECT) apareceram à venda em outro fórum. Se você é brasileiro, suas informações pessoais provavelmente estão expostas.
Compre Bitcoin com segurança e anonimato → Bitcoin P2P
O Banco de Dados “MORGUE”: 251 Milhões de CPFs à Venda
Um ator de ameaça identificado como “Buddha” publicou em fórum popular de cibercrime a venda de um banco de dados batizado de MORGUE. O arquivo pesa 25,1 GB (sem índices), está no formato .db e contém 251.720.444 registros — número superior à população viva do Brasil, que é de aproximadamente 212 milhões de pessoas, porque inclui registros de falecidos.
O preço pedido é absurdamente baixo: US$ 500 pagos em Bitcoin. Para ter uma ideia da dimensão do problema, o vazamento da Serasa Experian em 2021 — que expôs 220 milhões de CPFs e foi vendido por US$ 40.000 — sacudiu o país inteiro. Agora, dados de qualidade similar (ou superior) estão sendo ofertados por um centésimo desse valor.
Estatísticas do Banco de Dados MORGUE
251,7M
Total de registros
25,1 GB
Tamanho do arquivo
$500
Preço em BTC
Quais Dados Estão Expostos no MORGUE?
A base inclui campos extremamente sensíveis que vão muito além do número do CPF. São informações que, combinadas, permitem desde fraudes bancárias até roubo completo de identidade:
| Campo | Descrição | Risco |
|---|---|---|
| CPF | Número de identificação fiscal nacional | Crítico |
| NOME | Nome completo do cidadão | Crítico |
| SEXO | Gênero registrado | Médio |
| NASCIMENTO | Data de nascimento | Crítico |
| NOME_MAE | Nome completo da mãe | Crítico |
| NOME_PAI | Nome completo do pai | Crítico |
| FLAG_OBITO / DT_OBITO | Indicador e data de óbito | Médio |
| RACA | Raça/cor declarada | Médio |
| CIDADE_NASCIMENTO / UF | Local de nascimento | Médio |
O conjunto de CPF + nome completo + data de nascimento + nome da mãe é exatamente o “kit básico” exigido por bancos, financeiras e órgãos governamentais para verificação de identidade. Com esses quatro campos, um criminoso consegue abrir contas, solicitar empréstimos, fazer portabilidade de benefícios do INSS e até emitir certidões em nome de outra pessoa.
“O banco de dados é maior que a população viva atual do Brasil porque também inclui registros de indivíduos falecidos.”
— Ator da ameaça “Buddha”, fórum de cibercrime
Vazamento dos Correios: Plantas, Rotas e Documentos Financeiros
Na mesma semana, o ator de ameaça “breach3d” publicou um conjunto de dados supostamente extraídos dos Correios (ECT — Empresa Brasileira de Correios e Telégrafos). O material é diferente: em vez de dados de cidadãos, trata-se de informações operacionais e estratégicas da empresa estatal.
O que foi exposto nos Correios?
- Documentos financeiros internos e comprovantes de clientes envolvendo o Banco do Brasil S.A.
- Etiquetas de rastreamento (tracking ranges), códigos de serviço e IDs de funcionários/estações de trabalho
- Plantas arquitetônicas detalhadas dos Centros de Cartas e Encomendas (CCE), incluindo layouts estruturais, salas técnicas e áreas de segurança
- Milhares de documentos e scans internos, com registros a partir de 2021 e planos de infraestrutura atualizados
- Detalhes administrativos completos: contratos, rotas logísticas especializadas e plantas de instalações (HVAC, elétrica e estrutural)
A exposição de plantas de centros de distribuição e rotas logísticas representa um risco de segurança física real — não apenas digital. Essas informações podem ser exploradas para planejar roubos de carga, que já são um problema crônico no Brasil.
Proteja seu patrimônio com Bitcoin P2P → Compre agora
Contexto: Brasil É Alvo Recorrente de Megavazamentos
Infelizmente, este não é um episódio isolado. O Brasil tem histórico de vazamentos massivos que raramente resultam em punição efetiva para os responsáveis:
| Ano | Vazamento | Registros | Preço |
|---|---|---|---|
| 2021 | Serasa Experian | 223 milhões de CPFs | US$ 40.000 em BTC |
| 2021 | Detran/SERPRO | 100M+ CNHs e veículos | Não divulgado |
| 2022 | Ministério da Saúde | Dados de vacinação COVID | Não aplicável |
| 2026 | MORGUE (gov.br) | 251,7 milhões de CPFs | US$ 500 em BTC |
| 2026 | Correios (ECT) | Documentos operacionais | A negociar |
O padrão preocupa: o preço dos dados caiu de US$ 40.000 em 2021 para US$ 500 em 2026. Isso indica que esse tipo de base de dados já circula amplamente no submundo digital, tornando-a menos “exclusiva” e, portanto, mais barata — mas não menos perigosa para os cidadãos expostos.
O que Diz a LGPD e Qual o Papel da ANPD?
A Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) entrou em vigor em setembro de 2020 e é o principal instrumento legal brasileiro para proteção de dados pessoais. A lei exige que organizações notifiquem a ANPD (Autoridade Nacional de Proteção de Dados) dentro de 3 dias úteis após a identificação de incidentes com “risco ou dano relevante” aos titulares.
O que a LGPD garante ao cidadão?
- Direito à informação: Saber quais dados uma empresa tem sobre você
- Direito à correção: Corrigir dados incorretos
- Direito à eliminação: Solicitar exclusão de dados desnecessários
- Direito à portabilidade: Transferir seus dados entre empresas
- Direito à oposição: Se opor ao tratamento de dados
Na prática, porém, a aplicação ainda é tímida. Entre 2023 e 2025, a ANPD aplicou multas que somam aproximadamente R$ 98 milhões — valor irrisório considerando a escala dos danos causados pelos vazamentos.
“A LGPD existe, a ANPD existe, mas a fiscalização e as punições ainda estão longe de ser um deterrente efetivo para quem deixa dados de 251 milhões de pessoas expostos.”
— Análise Bitcoin P2P
Por que Bitcoin Aparece Nessas Transações?
Não é por acaso que os criminosos exigem pagamento em Bitcoin. A criptomoeda oferece pseudonimato — as transações são públicas na blockchain, mas não estão diretamente vinculadas a identidades reais sem análise forense especializada. Isso dificulta o rastreamento por autoridades.
É importante, no entanto, separar o uso criminoso do uso legítimo: o Bitcoin em si é uma tecnologia neutra. Milhões de brasileiros usam Bitcoin todos os dias de forma completamente legal, como reserva de valor, proteção contra inflação ou meio de pagamento. O fato de criminosos preferirem BTC diz mais sobre a ineficácia dos sistemas de vigilância financeira tradicional do que sobre a tecnologia em si.
Use Bitcoin de forma segura e legal → Bitcoin P2P Brasil
Como Se Proteger Após Esses Vazamentos?
Se você é brasileiro, assuma que seus dados estão ou estiveram expostos. Isso não é alarmismo — é estatística: com 251 milhões de registros em um país de 212 milhões de habitantes, a cobertura é total. O que fazer:
Medidas imediatas de proteção
- Ative alertas no Serasa e Boa Vista: Ambos oferecem notificações gratuitas de consultas ao seu CPF
- Monitore o Registrato (Banco Central): Veja todas as contas e chaves PIX vinculadas ao seu CPF em registrato.bcb.gov.br
- Use autenticação em dois fatores (2FA): Em todos os bancos, e-mails e aplicativos financeiros
- Desconfie de contatos inesperados: Golpistas usam dados vazados para criar abordagens “personalizadas” e convincentes
- Verifique seu extrato do FGTS e INSS: Fraudes com benefícios sociais são comuns após vazamentos de CPF
- Congele seu crédito preventivamente: Comunique aos birôs de crédito se notar movimentações suspeitas
Perguntas Frequentes
O banco de dados MORGUE é novo ou são dados antigos?
Pesquisadores de segurança indicam que os dados podem ter origem no vazamento da Serasa Experian de 2021 ou em bases similares do SERPRO. O campo mais recente nos registros data de 2020. Mesmo assim, as informações continuam válidas e extremamente úteis para fraudes.
Posso processar o governo pelo vazamento do meu CPF?
Sim. A LGPD prevê responsabilização civil de controladores e operadores de dados. Ações coletivas (como a ajuizada em janeiro de 2026 no Tribunal Superior inglês relacionada a incidentes similares) são o caminho mais eficaz, dado o volume de afetados.
O vazamento dos Correios afeta encomendas comuns?
Diretamente, não. O maior risco é o uso das plantas e rotas logísticas para crimes físicos (roubo de carga) e o uso de dados de funcionários para engenharia social (golpes se passando por colaboradores dos Correios).
Bitcoin é usado apenas por criminosos?
Não. O Bitcoin é uma tecnologia de pagamento e reserva de valor usada legalmente por milhões de pessoas. O uso criminoso é minoritário — estudos da Chainalysis mostram que menos de 1% das transações em Bitcoin estão associadas a atividades ilícitas.
Como saber se meu CPF está no banco de dados MORGUE?
Ferramentas como o Have I Been Pwned (haveibeenpwned.com) e o Registrato do Banco Central são os meios mais seguros para verificar exposição. Evite sites desconhecidos que pedem seu CPF para “verificar” — podem ser armadilhas.
Compre Bitcoin com segurança → Bitcoin P2P
Leia também: Tudo sobre segurança digital e Bitcoin no blog Bitcoin P2P