Um suposto vazamento colocou em alerta praticamente toda a população brasileira. Um grupo cibercriminoso internacional que se identifica como “Buddha” afirma ter colocado à venda um conjunto de dados ligado à Receita Federal com informações de 248 milhões de CPFs e 41,6 milhões de CNPJs, além de cadastros de estrangeiros com CPF no Brasil. O material teria sido obtido a partir da exploração de um sistema antigo do órgão e estava sendo oferecido por cerca de US$ 1.300 (aproximadamente R$ 6.750) em fóruns clandestinos.
O que torna o caso especialmente grave é a profundidade das informações. De acordo com o anúncio dos criminosos, os 24 bancos de dados no formato SQLite reuniriam nome completo, CPF, CNPJ, data de nascimento, nome da mãe, endereço completo, telefone, e-mail, dados ocupacionais e até informações de parentesco — no caso das empresas, natureza jurídica e capital social. É justamente o tipo de combinação que alimenta golpes sofisticados: com nome da mãe e endereço em mãos, um fraudador consegue se passar pela vítima em centrais de atendimento, abrir contas e contratar serviços em nome de outra pessoa.
Vale o contexto: o número de 248 milhões de CPFs é maior do que a população brasileira, o que indica que a base provavelmente carrega registros antigos, duplicados e de pessoas já falecidas — os dados estariam atualizados até 2019. Isso não diminui o risco para quem está vivo e ativo, mas ajuda a entender que “248 milhões” não significa 248 milhões de pessoas distintas e atuais. A Receita Federal, por sua vez, adotou postura cautelosa: em nota, afirmou que, apesar das evidências, a autenticidade do material ainda não foi confirmada. O episódio se soma a uma sequência recente de incidentes envolvendo dados de brasileiros, de aplicativos de delivery a órgãos públicos.
Para o leitor, a lição prática é a mesma de sempre, mas vale repetir: desconfie de ligações, SMS e e-mails que já chegam sabendo seu nome, CPF ou endereço — esse “conhecimento” não prova que o contato é legítimo, já que esses dados podem estar circulando. Ative a verificação em duas etapas nas contas mais sensíveis, evite repetir senhas e acompanhe o CPF em serviços oficiais de monitoramento. Enquanto a apuração não é concluída, tratar qualquer abordagem não solicitada como potencial golpe é a atitude mais segura.
