O que é o vazamento MORGUE? Trata-se de uma base com 251 milhões de registros pessoais de brasileiros, incluindo CPF, nome completo, data de nascimento e dados de óbitos, oferecida à venda na dark web por um usuário chamado Buddha desde o dia 18 de abril de 2026. O VECERT divulgou o alerta no X, apontando o Portal Gov.br como origem provável, mas nem a Autoridade Nacional de Proteção de Dados nem o governo confirmaram o caso até agora. É parecido com o megavazamento de 2021 e mostra a fragilidade dos sistemas públicos centralizados. Para se proteger, basta ativar a verificação em duas etapas no gov.br e monitorar seu CPF em bureaus de crédito.

O episódio reforça que a proteção de dados pessoais depende, antes de tudo, de cuidados simples e constantes por parte de cada cidadão, enquanto os órgãos públicos não apresentam soluções efetivas.

Tempo estimado de leitura: 2 minutos

No dia 18 de abril de 2026, a empresa de análise de ameaças cibernéticas VECERT divulgou um alerta em sua conta no X sobre uma base de dados chamada “MORGUE”, oferecida à venda na dark web por um usuário identificado como Buddha. Segundo o anúncio original feito pelo próprio vendedor no fórum DarkForums.su, a coleção contém 251.720.444 registros — mais do que a população viva do país, que gira em torno de 212 milhões de habitantes. O arquivo, de 25,1 gigabytes, estaria em formato .db e incluiria CPF, nome completo, gênero, data de nascimento, nomes da mãe e do pai, status e data de óbito, raça e cidade ou estado de nascimento. Os dados, conforme o vendedor, vão até 15 de março de 2025. Para provar a existência da base, Buddha liberou uma amostra gratuita com 20 mil linhas.

A origem apontada pelo vendedor e repetida pelo VECERT é o Portal Gov.br, que concentra o acesso a diversos serviços públicos federais, como Receita Federal, INSS e registros civis integrados. O anúncio surgiu primeiro no fórum de cibercriminosos, depois foi captado por contas especializadas em inteligência de ameaças e espalhou-se rapidamente por redes sociais. Até o momento, não existe confirmação oficial da Autoridade Nacional de Proteção de Dados (ANPD), da Receita Federal ou de qualquer órgão do governo sobre a veracidade do vazamento. Nenhuma grande redação — como G1, Folha de S.Paulo, O Estado de S.Paulo ou UOL — publicou reportagem com investigação própria ou declaração das autoridades.

O caso lembra o megavazamento de 2021, que expôs cerca de 223 milhões de CPFs e outros dados pessoais, também com volume acima da população por incluir registros de falecidos. Naquela ocasião, as informações circularam gratuitamente em fóruns e foram atribuídas a falhas em sistemas privados e públicos. Aqui, o padrão se repete: o número elevado de registros se explica pela inclusão de óbitos, o que é comum em bases oficiais de registros civis. Nas redes sociais, o tema gerou piadas, indignação e críticas à LGPD, lei que pune empresas privadas mas parece ineficaz para cobrar o próprio governo. Muitos usuários lembraram que dados semelhantes já vazaram antes por meio de empresas de telefonia, cartórios ou cadastros públicos acessíveis via internet.

Não há indícios de fraude ou invenção completa no anúncio. O post de Buddha existe, a amostra foi liberada e a descrição dos campos coincide com o que se espera de uma base nacional de CPFs. O que ainda falta é a validação independente por autoridades ou peritos fora do ambiente fechado da dark web. Até agora, tudo indica que o material está à venda por US$ 500 em bitcoin, preço baixo que facilita o acesso a criminosos comuns.

O episódio mostra, mais uma vez, a dificuldade crônica do Brasil em proteger informações básicas dos cidadãos. A centralização de serviços no Gov.br, pensada para facilitar a vida do público, acaba criando um alvo único e gigantesco. Enquanto não houver cobrança efetiva e investimentos reais em segurança, vazamentos como esse continuarão a ocorrer. O recomendável, por enquanto, é que cada pessoa ative a verificação em duas etapas nas contas gov.br e bancárias, monitore seu nome em bureaus de crédito e desconfie de contatos que peçam dados ou códigos de acesso em nome de órgãos oficiais. O alerta serve para lembrar que, mesmo sem confirmação final, o risco de fraudes com CPF já está no ar.