Base MORGUE expõe risco de fraude com 251 milhões de CPFs
Caso reforça que CPF, data de nascimento e nome da mãe não devem validar identidade sozinhos.
Resumo rapido
A suposta base MORGUE foi anunciada na dark web com 251.720.444 registros de brasileiros. Origem e autenticidade ainda não foram confirmadas, mas o risco é concreto: dados cadastrais podem alimentar fraudes, golpes por telefone, recuperação indevida de contas e criação de identidades sintéticas.
Neste artigo voce vai aprender:
- O que foi divulgado sobre a suposta base MORGUE.
- Por que CPF não deve ser tratado como senha.
- Como dados cadastrais podem ser usados em golpes.
- Quais processos corporativos precisam de revisão imediata.
- Como cidadãos e empresas podem reduzir riscos agora.
O que foi divulgado sobre a base MORGUE
A base chamada MORGUE foi anunciada em abril de 2026 na dark web com 251.720.444 registros vinculados a CPFs e dados pessoais de brasileiros. Segundo as informações divulgadas publicamente, o pacote estaria sendo vendido por US$ 500 em Bitcoin e incluiria CPF, nome completo, gênero, filiação, data de nascimento, raça, cidade de nascimento e, em parte dos registros, dados de óbito.
Até o momento, origem, integridade e veracidade do material não foram confirmadas. O Ministério da Gestão e da Inovação negou qualquer registro de invasão ao gov.br, e o CSIRT.DF informou que ainda não conseguiu confirmar a procedência do conteúdo. Mesmo assim, o alerta permanece válido: nenhuma empresa deveria depender de dados cadastrais como prova de identidade — confirmado o vazamento ou não.
CPF não é senha — e há anos deixou de ser segredo
O ponto central não é determinar se a base é autêntica. O problema é que informações como CPF, data de nascimento e nome da mãe já circulam há anos em bases antigas, recombinadas e expostas. Quando uma empresa usa esses dados para liberar cadastro, atendimento ou recuperação de conta, ela transforma informação potencialmente pública em chave de acesso.
Na prática, um fraudador consegue reunir dados reais de uma pessoa para abrir uma conta em seu nome, convencer uma central de atendimento, redefinir um acesso ou montar uma identidade sintética — um perfil falso construído com fragmentos de informações verdadeiras. Esse tipo de golpe atravessa sistemas e atendentes justamente porque as informações apresentadas são reais, só o portador é que não é.
Sinais de que dados cadastrais estão sendo usados de forma indevida
Empresas e cidadãos devem estar atentos a situações que indicam possível uso irregular de dados pessoais:
- tentativas de cadastro ou abertura de conta que o titular não reconhece;
- pedidos de recuperação de senha que não foram solicitados;
- ligações ou mensagens que citam CPF, data de nascimento ou nome da mãe para parecer confiáveis;
- atendimentos em que o único critério de validação é confirmar dados cadastrais;
- sites desconhecidos prometendo verificar se o CPF vazou.
A recomendação da LC SEC é evitar inserir CPF ou outros dados pessoais em páginas não reconhecidas. Consultas sobre exposição de dados devem ser feitas apenas em canais oficiais, plataformas reconhecidas ou ferramentas especializadas de monitoramento.
O que empresas devem revisar agora
Fluxos de cadastro, onboarding digital, recuperação de conta e atendimento ao cliente que dependam apenas de dados cadastrais precisam ser revisados imediatamente. A mudança necessária é deixar de tratar CPF, data de nascimento e nome da mãe como segredos e passar a validar identidade por camadas.
Entre as medidas recomendadas estão autenticação multifator, análise contextual da tentativa de acesso, validação de dispositivo, monitoramento contínuo de credenciais expostas, biometria com prova de vida quando aplicável e controles antifraude capazes de identificar comportamentos fora do padrão. Do ponto de vista regulatório, a Resolução CD/ANPD nº 15/2024 estabelece que incidentes capazes de gerar risco ou dano relevante aos titulares exigem comunicação à ANPD e aos próprios titulares em até três dias úteis — o que torna a revisão de processos também uma obrigação de conformidade com a LGPD.
Checklist prático
- Mapeie todos os pontos em que CPF, data de nascimento ou nome da mãe são usados para validar clientes.
- Adicione autenticação multifator e análise de risco em cadastros, login, atendimento e recuperação de acesso.
- Treine equipes de atendimento para não aceitar apenas dados cadastrais como prova de identidade.
- Monitore credenciais e dados expostos que possam ser usados contra clientes e colaboradores.
- Revise o plano de resposta a incidentes e os critérios de comunicação exigidos pela ANPD.
Perguntas frequentes
A base MORGUE foi confirmada?
Não. Origem, autenticidade e integridade ainda estão em análise. O alerta, porém, é válido independentemente da confirmação: dados cadastrais já são usados em fraudes digitais há anos, com ou sem um novo vazamento.
CPF pode ser usado para autenticar uma pessoa?
Não deveria ser usado sozinho. CPF identifica uma pessoa, mas não comprova que quem o apresenta é de fato ela. Autenticação exige combinar outros fatores de validação — dispositivo, comportamento, biometria ou token.
O que um cidadão deve evitar agora?
Evite digitar CPF em sites desconhecidos que prometem verificar se seus dados vazaram. Desconfie de contatos que usam suas informações pessoais para parecer legítimos e prefira sempre canais oficiais para esse tipo de consulta.
Proteja sua empresa com a LC SEC
A LC SEC ajuda empresas a revisar processos de autenticação, reduzir fraudes cadastrais, monitorar exposições de dados e fortalecer a resposta a incidentes com foco em segurança e compliance.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io
Compartilhe nas redes sociais:
