menu
Logo TecMundo
Segurança

Governo confirma vazamento de 9 milhões de CPFs de Pernambuco

Além de CPFs, também vazaram milhões de RGs, e-mails, celulares e endereços; Governo diz que dados são de sistema de ambiente federal.

Avatar do(a) autor(a): Adriano Camacho
Adriano Camacho

schedule15/01/2026, às 12:15

updateAtualizado em 15/01/2026, às 12:45

Nas últimas horas de 2025, um usuário do fórum criminoso BreachForums publicou um dos maiores vazamentos do último ano. Sob o anonimato de ‘0x0dayToDay’, o perfil compartilhou mais de nove milhões de dados de cidadãos do Estado de Pernambuco – incluindo documentos pessoais, celulares, e-mails e até endereços residenciais. O TecMundo notificou as autoridades do governo estadual, que confirmaram o caso.

Conforme sugere a publicação, o material contém informações que sugerem relação a ambientes da área da saúde – como o SUS, o Sistema Único de Saúde do Brasil. O texto não especifica a data do vazamento que, embora ainda seja relevante, está desatualizado e incompleto. Entretanto, seu autor faz questão de detalhar dados demográficos na tentativa de valorizar o material criminoso pelo choque.

smart_display

Nossos vídeos em destaque

Citando informações do Instituto Brasileiro de Geografia e Estatística (IBGE), o autor destaca que Pernambuco possui uma população estimada em 9,56 milhões de habitantes em 2025. O número é ligeiramente maior que os 9,05 milhões oficialmente levantados pelo censo oficial de 2022. A base de dados com 9,2 milhões de registros – e 8,62 milhões de CPFs ativos – pode cobrir 93,2% da atual população do estado.

post-de-vazamento-adriano-camacho-1.jpg
Publicação criminosa em fórum da Dark Web. (Fonte: Adriano Camacho, TecMundo)

Diante das estatísticas, o vazamento se torna ainda mais preocupante – e até curioso. Entre pessoas vivas e já falecidas, milhões de cidadãos podem ter sido expostos na internet, em troca de absolutamente nada. Isto porque o material divulgado pode ser facilmente obtido por qualquer internauta, até mesmo na internet comum, de graça.

Leia Mais
Venezuelanos baixam apps de VPN, Proxy e Wallets após ataque dos EUA

Porém, nas mãos erradas, um conjunto bem estruturado de dados como esse pode ser usado para diferentes vertentes criminais, da extorsão à fraude. Sem custos, sem encriptação ou separação por arquivos, essa base de dados será rapidamente republicada em inúmeros outros sites e fóruns da Dark Web, potencializando seu dano.

A Secretaria Estadual de Saúde de Pernambuco (SES-PE) afirma em posicionamento que as informações vazadas são antigas e provenientes de um “sistema de informação externa à governança estadual”. Além disso, o órgão confirma que acionou o Data Protection Officer (DPO) na Lei Geral de Proteção de Dados para dar seguimento ao caso, junto de outras autoridades. O posicionamento completo pode ser lido no texto a seguir.

Posicionamento oficial da Secretaria Estadual de Saúde de Pernambuco (SES-PE)

Em e-mail, a Secretaria Estadual de Saúde de Pernambuco (SES-PE) respondeu o TecMundo com uma breve nota sobre o incidente, do dia 14/01/2026. Leia a seguir:

  • “A Secretaria Estadual de Saúde (SES-PE) informa que diante da análise dos dados disponibilizados, estes são provenientes de sistemas de informação externa à governança estadual. A análise preliminar do levantamento, realizado por técnicos da SES-PE, dão conta que os dados são antigos de residentes de Pernambuco, porém provenientes de sistemas de informação de esfera federal. Por fim, destacamos que a SES-PE está acionando o DPO (Data Protection Officer) na LGPD para tratar do incidente e realizar contato com as outras esferas para informes e identificação da fonte.”

Que informações foram vazadas do Estado de Pernambuco?

Apenas por números absolutos, não é possível entender a real gravidade do suposto vazamento. Portanto, o TecMundo Security analisou o material vazado e detalha a seguir os destaques do que, agora, pode ser utilizado por criminosos de todo país. O arquivo original, nomeado “PE-9M.db”, possui cerca de 2,8 GB e está formatado como SQLite, que é um sistema de banco de dados relacional leve, sem servidor, que concentra todos os registros em um único lugar – o que facilita muito as buscas categorizadas.

Leia Mais
Honeypot: Criminosos do grupo ShinyHunters caem em armadilha de empresa de segurança

Logo ao abrir o arquivo, é possível conferir como a estrutura de colunas está disposta, também revelando quais informações estarão catalogadas. Para cada uma das 9,19 milhões de linhas do banco de dados, que representam um cidadão de Pernambuco, é possível encontrar:

  • Dados de identificação: nome, CPF, CNS (definitivo e provisório), nome social e grau de qualidade do cadastro;
  • Informações pessoais e familiares: data de nascimento, sexo, filiação, raça/cor, identidade de gênero e estado civil;
  • Dados demográficos: nacionalidade, país e município de nascimento, etnia indígena e município internacional;
  • Endereço completo: tipo e nome do logradouro, número, complemento, bairro, município, UF, país e CEP;
  • Contato: telefone e endereços de e-mail;
  • Documentos oficiais: número de RG, órgão emissor, UF e data de emissão;
  • Informações administrativas: situação do cadastro (ativo), condição VIP, microárea, motivo VIP e fora de área;
  • Dados educacionais e de saúde: escolaridade e tipo sanguíneo;
  • Registros sensíveis: informações sobre óbito, naturalização e entrada no país.

Naturalmente, nem todas as colunas estão preenchidas e algumas retornam o valor “null” (ou “nulo”, em português). De maneira similar, nem todas as linhas representam pessoas vivas, característica que pode ser filtrada pela coluna “óbito”. Nesse contexto, com um simples código foi possível buscar quantas linhas possuíam CPFs, RGs, e-mails e telefones de cidadãos vivos, desconsiderando as células inválidas ou nulas.

sql-1-adriano-camacho-1.jpg
Linha de código no banco de dados vazado de Pernambuco. (Fonte: Adriano Camacho, TecMundo)

Por meio dessa busca, foram encontrados 8,62 milhões de CPFs ativos no banco de dados. Conforme citado anteriormente, o número corresponde a 93,2% da atual população do estado, estimada em 9,56 milhões em 2025. Leia em detalhes:

Dados vazados de pessoas vivas

  • CPF: 8.622.677 registros
  • RG: 2.052.351 registros
  • E-mail: 99.905 registros
  • Telefone: 7.796.751 registros

Dados vazados de pessoas falecidas

  • CPF: 568.155 registros
  • RG: 173.164 registros
  • E-mail: 160 registros
  • Telefone: 426.197 registros


Embora a Secretaria Estadual de Saúde de Pernambuco não tenha confirmado a data do vazamento, há evidências de que o banco de dados tenha pelo menos três anos. Essa evidência pode ser observada ao checar a “data de nascimento” mais recente no arquivo, de 18/09/2023.

Leia Mais
Venezuela sofreu corte de internet e blecaute antes de ataque dos EUA

Pesquisador de cibersegurança analisa o vazamento de dados

Em parceria com o TecMundo, o pesquisador Daniel Barbosa, da companhia de segurança da informação ESET, analisou o banco de dados vazado e comentou sobre o incidente. Barbosa, que é responsável por identificar e analisar ameaças do cibercrime direcionadas principalmente ao Brasil, costuma vasculhar fóruns na Dark Web para entender o modus operandi dos cibercriminosos.

A Dark Web pode ser categorizada como a parte criminosa da Deep Web — mesmo que ainda não exista um conceito claro entre diferentes especialistas quando falamos especificamente sobre camadas ocultas.

Sobre o caso, ele afirma que a base de dados pode ter vazado por meio de integrações de software à área da saúde. Segundo o especialista, não é possível precisar mais informações apenas com a análise deste arquivo.

dados-vazados-adriano-camacho-1.jpg
Banco de Dados vazados de Pernambuco, no Browser for SQLite. (Fonte: Adriano Camacho, TecMundo)

“Para vazamentos deste tipo os cibercriminosos costumam buscar interações diretamente com os sistemas, mediante exploração de vulnerabilidades ou más configurações,” ele explica. “Esse acesso direto pode permitir que grandes quantidades de informações sejam extraídas sem grandes dificuldades.”

Leia Mais
Vírus que rouba contas do Discord é vendido por menos de R$ 60

Contudo, o pesquisador não descarta a possibilidade de erro humano ou má prática de segurança – ou seja, sem ataques sofisticados. “Muitos bancos de dados são expostos diretamente à internet sem configurações adequadas para inibir ataques como o SQL Injection, por exemplo.”

Sobre esse cenário, Barbosa acrescenta: “a forma como os dados foram vazados, em um grande banco de dados único, traz indícios de que a origem da informação foi apenas uma”. O pesquisador ainda sugere que os dados podem ter sido coletados durante um longo período, a fim de minimizar erros ou suspeitas.

O que os criminosos usaram para vazar os dados de Pernambuco?

Segundo Daniel, os cibercriminosos podem ter usado diversas técnicas para obter os arquivos, que variam desde interações diretas com o navegador ou até softwares especializados. “A técnica mais comum é o SQL Injection e a ferramenta mais popular atualmente é o SQLmap”, afirma.

  • SQL Injection: técnica em que atacantes conseguem inserir comandos SQL maliciosos por meio de entrada de dados em uma aplicação;
  • SQLMap: escrita em Python, é uma ferramenta de código aberto para automação, pode ser usada para exploração de vulnerabilidades.

Daniel explica que, embora técnicas como SQL Injection sejam conhecidas e até antigas, elas continuam eficazes no cibercrime. “Isso reforça que o problema nem sempre é falta de conhecimento técnico, mas de gestão contínua da segurança,” comenta.

Leia Mais
Drones sobrevoam sede do governo da Venezuela; militares atiram

Nesse contexto, o especialista da ESET exemplifica: “Dentre os erros mais comuns [na gestão de segurança] estão a concessão de permissões além do necessário para os usuários e uma política de exclusão de acessos inadequada, muitas vezes mantendo um usuário ativo no ambiente mesmo que ele tenha sido desligado há meses ou anos”. Conforme explica, essas características são especialmente visadas por criminosos.

Em paralelo, ele também acrescenta que o uso de softwares desatualizados ainda é um dos principais vetores de ataque. “Muitos sistemas [utilizados] em ambientes governamentais foram desenvolvidos há anos ou décadas, atualizá-los é um grande desafio.”

Daniel explica que os softwares antigos exigem uma estrutura de funcionamento igualmente desatualizada, promovendo múltiplas portas de entrada para o cibercrime. “Um ambiente todo repleto de softwares com diversas vulnerabilidades conhecidas prontas para serem exploradas,” ele conclui.

Quanto vale um vazamento na Dark Web?

Sobre a venda ilegal de dados vazados, Daniel explica que os preços cobrados por criminosos varia bastante: “depende de uma série de fatores”. Segundo ele, o esforço empenhado no roubo das informações, bem como sua raridade, são características que podem aumentar os valores na negociação.

Leia Mais
Brasil é alvo de novo vírus que se espalha sozinho e apaga os próprios rastros

Por outro lado, bancos de dados obtidos de ambientes vulneráveis, ainda que contenham informações igualmente sensíveis, não são tão valorizados – mas ainda podem ser vendidos por centenas de dólares. Em alguns casos, como o do atual vazamento de Pernambuco, eles são disponibilizados até mesmo de graça.

Parte dessa valorização ou desvalorização também se explica na republicação de informações vazadas. “É comum que uma mesma base circule diversas vezes, sendo revendida ou usada como complemento para novos vazamentos e cruzamentos,” diz Barbosa. Ele ainda acrescenta que essa recirculação costuma ser divulgada em fóruns e aplicativos de troca de mensagens.

O que criminosos podem fazer com dados vazados?

Quanto aos riscos para os usuários, vazamentos como esse podem ser mais perigosos do que parecem. Daniel alerta que bancos de dados bem estruturados podem servir de “matéria-prima para golpes personalizados”. “Com CPF, filiação e data de nascimento, os criminosos conseguem se passar por instituições legítimas, ganhar confiança da vítima e avançar para fraudes mais complexas,” ele afirma.

Segundo o especialista, essas bases de dados se relacionam com golpes de engenharia social. O termo se refere a um conjunto de métodos e técnicas utilizadas para enganar um alvo, reduzindo sua capacidade de julgamento por ameaças ou urgências. “Os criminosos entram em contato com as possíveis vítimas, geralmente buscando formas de extrair recursos financeiros, além da abordagem direta, também é possível que os dados sejam usados para criação de contas em diversos tipos de plataformas”, explica.

Leia Mais
GOV.BR espiona o usuário? TecMundo investigou

O pesquisador ainda destaca que há a possibilidade de que os dados permitam a obtenção de crédito indevido em nome da vítima, como empréstimos ou financiamentos. “Quanto mais informação o criminoso tem, mais convincente é o golpe. Isso reduz a desconfiança da vítima e aumenta bastante a taxa de sucesso.”

Para piorar o caso, Daniel alerta que os vazamentos não têm data de validade. Segundo ele, na verdade, os criminosos podem usar os dados obtidos indefinidamente – mesmo quando já estão “antigos”. “Uma estratégia utilizada é aguardar que as notícias sobre o vazamento de informações diminuam, isso faz com que as possíveis vítimas abaixem sua guarda por se esquecerem do incidente que aconteceu.”

Como esperado, crianças, adolescentes e idosos são os alvos preferenciais dos criminosos. Para Daniel, os crimes utilizam do desconhecimento sobre segurança e se adaptam para aumentar a eficiência em cada faixa-etária. Um exemplo disso seriam fraudes com créditos de jogos online, ou comunicados sobre pagamentos de aposentadoria.

Quem foi afetado pelo vazamento de dados pode ser indenizado?

É importante lembrar que a Lei Geral de Proteção de Dados (LGPD) é o texto que prevê regras, multas e exigências para qualquer entidade que controle dados sensíveis.

Leia Mais
Grok, de Elon Musk, foi usado para criar imagens abusivas de mulheres e crianças com IA

Para falar sobre o atual incidente, o TecMundo convidou o advogado especialista em crimes cibernéticos Luiz Augusto D’urso. Segundo ele, o mero vazamento de dados não resulta, necessariamente, em uma indenização. “O Superior Tribunal de Justiça (STJ) firmou uma tese que só o vazamento de dados não gera o dever de indenizar os titulares de dados", contextualiza.

“Eles entenderam que o vazamento precisa gerar um problema com relação ao uso indevido daquele dado, com relação ao titular,” explica D’urso, “assim, o titular conseguiria se judicializar e ter algum tipo de indenização”. Em outras palavras, após ser afetado por um vazamento, o cidadão precisaria comprovar algum prejuízo concreto derivado de tal incidente.

Comprovando prejuízo, indenizações podem ser altas

Por outro lado, uma vez que há um prejuízo comprovado por um vazamento de dados, a situação muda bastante. Considerando as hipóteses mais graves, quando como os criminosos usam o vazamento de dados para invadir contas, desviar valores ou contratar empréstimos, os valores podem ser altos. “Poderia gerar [indenizações por] danos morais que podem chegar, por exemplo, a R$ 30, 40 ou 50 mil reais,” sugere D’urso.

Conforme ainda explica o advogado, o responsável pela indenização é a entidade controladora das informações: “aquele que recebe e armazena os dados”. Neste caso, ainda que o vazamento tenha acontecido em um sistema sob tutela federal, a empresa contratada para o manuseio dos dados também é responsável por promover sua segurança. “A depender de quem falhou nesses quesitos, nós saberíamos quem serão os responsáveis por esse vazamento,” diz D’urso.

Leia Mais
Caças, drones e mais: conheça as tecnologias usadas pelos EUA na captura de Maduro

Por fim, apesar das exigências para obter uma indenização, D’urso ainda recomenda que os cidadãos façam uma reclamação formal. Segundo ele, o registro é importante “para que se tenha a responsabilidade reconhecida daqueles envolvidos,” explica, “inclusive, eventualmente, por improbidade, caso [o controlador de dados] agiu por má ou dolo”.

D’urso conclui: “é realmente o cidadão cobrar do órgão público, que sempre deve armazenar melhor essas informações”.

Como se proteger e evitar golpes após vazamentos de dados?

Após um vazamento massivo de dados como esse, é comum acreditar que não há mais nada a ser feito – ao menos, não até algum prejuízo acontecer. Contudo, na verdade, os usuários devem redobrar os cuidados contra golpe. Segundo Daniel Barbosa, pesquisador da ESET, é importante estar atento a qualquer abordagem que aconteça sem solicitação prévia, mesmo que informem documentos e informações pessoais.

Não confirme dados e nem siga os passos sugeridos nesses contatos. “Entre em contato por estes meios oficiais e valide se as informações são mesmo verdadeiras,” recomenda o especialista. Além disso, Daniel também recomenda que os cidadãos afetados registrem um boletim de ocorrência, que pode ser feito diretamente na internet. “Isso demonstra a ciência sobre o fato e pode ser usado como comprovação válida para diversos fins em casos de processos judiciais”, explica.

Leia Mais
Como desbloquear sites bloqueados no Google Chrome?

Abaixo, o TecMundo acrescenta algumas dicas para melhorar a segurança na internet e se proteger após vazamentos:

  • Desconfie de contatos inesperados: não forneça dados pessoais por telefone, mensagens ou e-mail. Golpistas usam informações vazadas para enganar vítimas;
  • Evite clicar em links suspeitos: mensagens pedindo confirmação de dados ou prometendo indenizações costumam ser golpes;
  • Monitore seu CPF: acompanhe movimentações financeiras e possíveis registros indevidos em seu nome;
  • Redobre a atenção a golpes personalizados: criminosos podem usar dados reais para tornar fraudes mais convincentes;
  • Ative a verificação em duas etapas: use autenticação em dois fatores em contas de e-mail, redes sociais e serviços financeiros;
  • Troque senhas antigas: especialmente em serviços que usam dados pessoais para recuperação de acesso.

Caso suspeite que tenha sido prejudicado pelo atual vazamento de dados de Pernambuco, denuncie ao TecMundo nos canais a seguir: denuncia@tecmundo.com.br / contato@adrianocamacho.com

Avatar do(a) autor(a): Adriano Camacho
Adriano Camacho

Especialista em Cibersegurança, Produtos, Hardware e Jogos

Adriano Camacho é Editor de Conteúdo no TecMundo e no Voxel, com cinco anos de experiência na área. Pós-graduado em Jornalismo Digital pela FAAP, é especializado na cobertura de assuntos ligados à tecnologia e à cultura gamer contemporânea.

local_mall

Ofertas TecMundo

Atualizado há 22 horas
Air Fryer EOS Family Chef Gourmet, 8L
32% off

Espaçosa!

Air Fryer EOS Family Chef Gourmet, 8L

R$ 217,00

Eletro amazon.com.brnew_releases
Soundbar Samsung HW-B400F/ZD 2.0 Canais
27% off

Oferta!

Soundbar Samsung HW-B400F/ZD 2.0 Canais

R$ 629,00

Áudio casasbahia.com.brnew_releases
Caixa de Som Bluetooth JBL Flip Essential 2
21% off

Imperdível!

Caixa de Som Bluetooth JBL Flip Essential 2

R$ 494,10

Áudio magazineluiza.com.brnew_releases
Headphone Bluetooth TAA4216BK/00
54% off

Oportunidade!

Headphone Bluetooth TAA4216BK/00

R$ 184,00

Áudio amazon.com.brnew_releases
Liquidificador Mondial L‑99
42% off

Oferta!

Liquidificador Mondial L‑99

R$ 99,99

Eletro shopee.com.brnew_releases
Norton VPN
38% off

Teste grátis!

Norton VPN

R$ 49,00

Softwares br.norton.comnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA