Vazamento de 9 milhões de CPFs em Pernambuco é confirmado
Vazamento de 9 milhões de CPFs em Pernambuco é confirmado – O governo estadual confirmou que dados pessoais de quase toda a população pernambucana foram expostos em um arquivo divulgado recentemente em fóruns da Dark Web.
A base inclui CPFs, RGs, e-mails, telefones e endereços, somando 9,19 milhões de registros — dos quais 8,62 milhões correspondem a CPFs ativos, o equivalente a 93,2% dos habitantes projetados para 2025.
Origem do arquivo e resposta oficial
De acordo com a Secretaria Estadual de Saúde de Pernambuco (SES-PE), os dados são “antigos” e teriam saído de um sistema federal fora da governança local. O órgão informou que acionou o Encarregado de Dados (DPO) previsto na Lei Geral de Proteção de Dados (LGPD) e outras autoridades para investigação.
Especialistas ouvidos pelo portal TecMundo apontam que o arquivo, batizado de “PE-9M.db”, tem 2,8 GB em formato SQLite e pode ter sido coletado ao longo de vários anos por meio de falhas como SQL Injection. A Polícia Civil de Pernambuco mantém orientações sobre crimes cibernéticos em seu site oficial; saiba mais no portal da PCPE.
Riscos para os cidadãos
Com dados completos, golpistas podem abrir contas, solicitar cartões, realizar compras online e aplicar fraudes de engenharia social. Levantamento da Febraban mostra que o Brasil registrou alta de 74% nas tentativas de fraude digital em 2024, cenário que tende a piorar após vazamentos massivos.
Para reduzir o impacto, especialistas recomendam:
- Ativar autenticação em dois fatores em serviços bancários e e-commerce.
- Acompanhar gratuitamente o CPF em bureaus de crédito, como Serasa e Boa Vista.
- Desconfiar de ligações ou mensagens cobrando valores ou solicitando códigos.
- Registrar boletim de ocorrência em caso de uso indevido dos dados.
Como o vazamento foi descoberto
O arquivo foi publicado por um usuário anônimo no fórum BreachForums e distribuído sem custo. Pesquisadores da ESET analisaram o banco e confirmaram colunas que indicam origem em sistemas de saúde, como SUS. A linha mais recente de “data de nascimento” é de setembro de 2023, sinalizando que a extração ocorreu há pelo menos três anos.
Segundo o especialista Daniel Barbosa, a exposição “em um único banco de dados grande indica que a origem foi apenas uma”, sugerindo integração mal configurada ou servidor sem proteção adequada.
Nenhum pedido de resgate foi identificado até o momento, mas cópias já circulam em outros fóruns, o que dificulta a remoção definitiva.
No combate às fraudes, a combinação de senhas fortes, verificação de documentos e atualização constante de sistemas continua sendo o melhor caminho, alertam analistas.
Para mais notícias e atualizações sobre segurança digital e investigações policiais, acesse nossa editoria de Segurança.
Crédito da imagem: Divulgação