Blog

Receita Federal apura suposto vazamento de 248 milhoes de CPFs e CNPJs

Escrito por Luiz Claudio | 11/06/2026 11:24:02
Ciberseguranca

Receita Federal apura suposto vazamento: o que fazer agora

Base com CPFs, CNPJs e dados cadastrais de brasileiros teria sido colocada à venda por grupo cibercriminoso.

Navegacao

O que foi divulgado Como o caso teria ocorrido Sinais de alerta para golpes O que fazer agora Checklist pratico

Resumo rapido

Um grupo cibercriminoso anunciou a venda de um suposto banco de dados atribuído à Receita Federal. O material teria informações de 248 milhões de brasileiros e cerca de 1,08 bilhão de registros. A Receita Federal informou que investiga o caso, portanto o incidente ainda deve ser tratado como suposto.

Neste artigo voce vai aprender:

  • O que foi informado sobre o suposto vazamento.
  • Quais dados teriam sido incluídos na base anunciada.
  • Por que a confirmação oficial ainda é importante.
  • Quais golpes podem aparecer após esse tipo de exposição.
  • Como reduzir riscos para pessoas e empresas.

O que foi divulgado sobre o suposto vazamento

Um grupo cibercriminoso anunciou a venda de uma base com dados de 248 milhões de cidadãos brasileiros, afirmando que o material teria origem em sistemas da Receita Federal. A oferta reúne aproximadamente 1,08 bilhão de registros e circula em fóruns criminosos.

Entre os dados citados estão CPFs, CNPJs, endereços, telefones, e-mails e informações cadastrais. O TecMundo afirma ter analisado amostras compartilhadas pelos criminosos e encontrado indícios de autenticidade: CPFs e CNPJs com dígitos verificadores válidos e tabelas com estrutura compatível com a atribuída à Receita Federal. A Receita confirmou que investiga o caso, mas não há confirmação definitiva da origem até o momento da publicação.

Como o caso teria ocorrido, segundo os criminosos

De acordo com a alegação do grupo Buddha ao TecMundo, os dados teriam sido obtidos em 2026 por meio da exploração de um sistema legado da Receita Federal. O grupo afirmou ainda que o acesso à falha permaneceria ativo.

Essas afirmações partem exclusivamente dos criminosos responsáveis pelo anúncio. Até o momento descrito na reportagem, a Receita Federal comunicou apenas que está investigando. A leitura correta do cenário é esta: existe um anúncio de venda, existem amostras com indícios de autenticidade, mas a origem e a extensão real dos dados ainda dependem de confirmação oficial.

Como dados vazados viram ferramenta de golpe

Quando informações cadastrais chegam a bases criminosas, o risco mais imediato para o cidadão é o uso desses dados em golpes de convencimento. O criminoso cita CPF, CNPJ, telefone, endereço ou e-mail para parecer confiável e pressiona por uma ação rápida — pagamento, clique em link ou envio de documentos.

Fique atento a situações como:

  • mensagens em nome da Receita Federal pedindo clique em links ou regularização urgente de cadastro;
  • cobranças inesperadas que citam dados pessoais corretos para ganhar credibilidade;
  • ligações que mencionam CPF ou CNPJ para pressionar pagamento imediato;
  • e-mails com anexos ou links prometendo consulta de pendências fiscais;
  • pedidos de envio de documentos, senhas ou códigos recebidos por SMS ou WhatsApp.

O que fazer enquanto a investigação avança

Como o caso ainda está sob apuração, a resposta mais eficaz é reduzir a superfície de exposição a fraudes. Não clique em links recebidos por mensagem, não envie documentos por canais não verificados e trate qualquer contato que use urgência como argumento com desconfiança redobrada.

Empresas devem orientar equipes de financeiro, atendimento e recursos humanos: dados de CNPJs e cadastros podem ser usados para golpes contra fornecedores, clientes e colaboradores. Revisar processos de validação é prioritário — uma informação cadastral correta não pode ser aceita como prova de identidade de quem está do outro lado da linha ou da tela.

Checklist pratico

  1. Desconfie de qualquer mensagem que cite a Receita Federal e solicite clique, pagamento ou envio de documentos.
  2. Confirme solicitações por canais já conhecidos, sem usar o telefone ou link recebido na própria mensagem.
  3. Ative alertas em bancos, e-mails e serviços importantes para identificar movimentações suspeitas com agilidade.
  4. Oriente colaboradores a não aceitarem CPF, CNPJ ou endereço correto como confirmação de identidade.
  5. Registre e reporte tentativas de golpe para apoiar investigações internas e a resposta a incidentes.

Perguntas frequentes

O vazamento da Receita Federal foi confirmado?

Não há confirmação definitiva até o momento da publicação. A Receita Federal informou que investiga o caso, e as amostras analisadas pelo TecMundo apresentaram indícios de autenticidade, mas a origem oficial ainda aguarda conclusão da apuração.

Quais dados teriam sido expostos?

A base anunciada incluiria CPFs, CNPJs, endereços, telefones, e-mails e dados cadastrais, totalizando cerca de 1,08 bilhão de registros, de acordo com a oferta do grupo criminoso.

O que muda para empresas?

Empresas precisam reforçar a validação de solicitações — especialmente em pagamentos, alterações cadastrais e contatos com fornecedores. Dados corretos não garantem que a pessoa do outro lado seja legítima, e equipes precisam saber disso antes de agir.

Proteja sua empresa com a LC SEC

A LC SEC ajuda organizações a avaliar exposição de dados, fortalecer processos de resposta a incidentes e treinar equipes contra golpes que usam informações reais para enganar pessoas.

Falar com especialista

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
Visualizar publicação completa