Nota à Imprensa – Esclarecimento sobre informação falsa de suposto vazamento de dados da Receita Federal
Nos últimos dias, diversas reportagens noticiosas voltaram a mencionar um alegado vazamento massivo de dados, atribuído a um grupo de cibercriminosos, que afirmam possuir informações de 248 milhões de brasileiros. Segundo essas publicações, o material teria sido extraído diretamente dos sistemas da Receita Federal do Brasil e estaria sendo anunciado para venda em fóruns ilegais na internet.
De acordo com o anúncio criminoso, o pacote incluiria cerca de 1,08 bilhão de registros únicos, supostamente atualizados até 2019, com dados detalhados de cidadãos e empresas, como cadastros, endereços, informações de parentesco, números de contato e outros dados pessoais sensíveis. Os arquivos estariam organizados em 24 bancos de dados no formato SQLite, totalizando aproximadamente 78,7 GB quando descompactados, o que facilitaria a pesquisa e o cruzamento das informações pelo eventual comprador. Para “comprovar” a extensão da base, os criminosos apresentaram amostras com cerca de 100 linhas de cada um dos 24 arquivos.
A Receita Federal, entretanto, esclarece de forma categórica que essa narrativa é falsa. Não há qualquer evidência de invasão, vazamento ou comprometimento de seus sistemas. Trata-se de uma recirculação de bases de dados antigas, já conhecidas pelas autoridades há anos, e amplamente divulgadas desde 2021. A maior parte dessas informações está associada a incidentes anteriores, notoriamente vinculados ao ano-base de 2019, sem qualquer relação com uma falha de segurança ou brecha direta em bases da Receita Federal.
Em nota oficial, o órgão destaca alguns pontos fundamentais:
1. Não houve invasão dos sistemas nem vazamento de bases de dados da Receita Federal.
2. A presença de números de CPF em um conjunto de dados não permite, por si só, identificar a origem dessa base. O CPF é um identificador amplamente utilizado em cadastros públicos e privados no país há décadas, circulando em diversos contextos – de relações de consumo a cadastros em serviços digitais – o que dificulta a atribuição direta a uma única fonte.
3. Atribuir a origem desses dados à Receita Federal, sem qualquer comprovação técnica, é uma estratégia típica de grupos criminosos. Esse tipo de narrativa confere aparência de credibilidade e aumenta o valor comercial de bases de dados antigas, muitas vezes reaproveitadas, editadas ou apenas reorganizadas.
A Receita Federal reforça que esse tipo de desinformação prejudica diretamente a sociedade. A divulgação irresponsável de notícias sobre supostos vazamentos, sem verificação mínima de autenticidade, alimenta o pânico, gera sensação de insegurança e pode ser utilizada pelos próprios criminosos como argumento para chantagear empresas, órgãos públicos ou mesmo usuários finais.
O órgão também afirma manter elevados padrões de segurança da informação, adotando tecnologias, processos e políticas de proteção alinhadas às melhores práticas do mercado. As estruturas de TI são constantemente monitoradas, e qualquer indício de atividade suspeita é analisado em articulação com órgãos de investigação e outras instituições responsáveis pela prevenção e repressão a crimes cibernéticos. Mesmo neste caso específico, embora não haja evidência de incidente envolvendo seus sistemas, a Receita informa que segue acompanhando os desdobramentos do episódio junto às autoridades competentes.
Como criminosos exploram bases antigas para criar novas “ameaças”
A recirculação de bases de dados antigas é uma prática comum no submundo digital. Muitas vezes, grupos criminosos reaproveitam informações vazadas em anos anteriores, juntam diversas fontes diferentes, fazem pequenos ajustes, reembalam o material e o apresentam como um novo “megavazamento”. Para o público em geral, principalmente quando a notícia é amplamente repercutida, isso pode passar a impressão de que um incidente recente e inédito está em andamento, quando, na verdade, trata-se de dados antigos reciclados.
Outro truque recorrente é atribuir a origem do vazamento a instituições de grande visibilidade – como órgãos de governo, grandes bancos ou empresas globais de tecnologia – justamente para aumentar o impacto midiático e o interesse de compradores. O nome da Receita Federal, por ser diretamente associado a dados fiscais e cadastrais sensíveis, é alvo frequente desse tipo de uso indevido. Vale destacar que, em muitos casos, nem mesmo os criminosos conseguem comprovar a origem exata da base que estão oferecendo.
Por que o CPF aparece tanto em vazamentos?
O uso massivo do CPF em cadastros no Brasil explica por que esse dado aparece em praticamente todos os pacotes de informações negociados em fóruns ilegais. Ele é exigido em compras online, contratos de telefonia, abertura de contas bancárias, assinaturas de serviços, programas de fidelidade, entre outros. Basta que uma dessas instituições sofra um incidente de segurança para que milhões de CPFs passem a circular ilegalmente.
Por isso, encontrar o CPF de alguém em uma base não significa, necessariamente, que o dado tenha sido obtido diretamente de órgãos públicos. Frequentemente, a origem está em serviços privados com menor maturidade de segurança, aplicações vulneráveis ou empresas que não adotam boas práticas de proteção de dados. A associação automática entre a presença do CPF e a Receita Federal, portanto, é tecnicamente equivocada e favorece a narrativa dos criminosos.
Riscos reais para os cidadãos
Mesmo se tratando de bases antigas, a circulação de dados pessoais continua sendo preocupante. Informações como nome completo, CPF, data de nascimento, endereço e telefone podem ser utilizadas em golpes de engenharia social, fraudes de identidade e tentativas de abertura indevida de contas ou contratação de serviços em nome da vítima. Criminosos costumam combinar esses dados com outras informações públicas para tornar abordagens mais convincentes.
No entanto, é importante diferenciar o risco real da sensação de pânico. Nem todo anúncio de “megavazamento” significa que novas informações foram expostas ou que todos os cidadãos foram afetados de forma inédita. Em muitos casos, trata-se de reaproveitamento de dados antigos, os quais já estão em circulação há anos. Ainda assim, é prudente que as pessoas se mantenham vigilantes, desconfiem de contatos suspeitos e evitem fornecer informações adicionais por telefone, mensagens ou e-mail, mesmo quando o interlocutor parece ter vários dados pessoais corretos.
Boas práticas para cidadãos e empresas
Diante da recorrência desse tipo de notícia, algumas medidas simples podem reduzir o impacto de eventuais exposições de dados:
– Para cidadãos:
– Desconfiar de ligações, mensagens e e-mails que solicitem códigos, senhas, dados bancários ou outras informações sensíveis.
– Não clicar em links recebidos de remetentes desconhecidos ou em mensagens alarmistas prometendo “verificar se seus dados vazaram”.
– Utilizar senhas fortes e diferentes para cada serviço, ativando autenticação em duas etapas sempre que possível.
– Acompanhar regularmente extratos bancários, faturas de cartão e comunicações de instituições financeiras para identificar movimentações suspeitas.
– Para empresas:
– Adotar políticas claras de proteção de dados, com controles de acesso, criptografia e monitoramento de sistemas.
– Realizar treinamentos periódicos com funcionários sobre segurança da informação e prevenção a golpes de engenharia social.
– Manter inventários de dados pessoais tratados pela organização, revisando constantemente a necessidade de armazenamento e acesso.
– Estabelecer planos de resposta a incidentes, com fluxos definidos para investigação, comunicação e mitigação de danos.
O papel da imprensa e da checagem de informações
A repercussão de supostos vazamentos também revela a importância da checagem rigorosa antes da publicação de notícias relacionadas à segurança de dados. Informações incompletas, interpretações imprecisas ou a reprodução acrítica de discursos de criminosos podem amplificar o efeito psicológico do ataque, gerando desinformação e insegurança generalizada.
Veículos de comunicação, especialistas e influenciadores que tratam de temas de tecnologia e segurança digital têm responsabilidade redobrada ao noticiar esse tipo de assunto. Consultar fontes oficiais, ouvir mais de um especialista, exigir evidências técnicas e contextualizar o histórico de incidentes são práticas essenciais para evitar que o próprio noticiário se torne instrumento de propaganda para o crime organizado.
Compromisso contínuo com a segurança da informação
Ao reiterar que não houve qualquer invasão ou vazamento proveniente de seus sistemas, a Receita Federal reforça seu compromisso permanente com a proteção dos dados sob sua guarda. O órgão afirma que continuará investindo em segurança, aprimorando processos internos e fortalecendo a cooperação com outros entes públicos e privados para enfrentar ameaças cibernéticas cada vez mais sofisticadas.
Ao mesmo tempo, a instituição destaca que a luta contra a desinformação é parte importante desse esforço. Combater narrativas falsas sobre supostos vazamentos, esclarecer a origem real de bases antigas e orientar a população sobre riscos e cuidados são ações que ajudam a reduzir o impacto de golpes, preservar a confiança nos serviços digitais e fortalecer a cultura de segurança da informação no país.
Em síntese, o suposto “megavazamento” associado à Receita Federal é, segundo o órgão, mais um episódio de reciclagem de dados antigos e uso indevido de seu nome para valorizar comercialmente informações já conhecidas pelas autoridades. Não há, até o momento, qualquer evidência técnica de comprometimento de suas bases, mas o caso serve de alerta para a necessidade constante de vigilância, educação digital e responsabilidade na divulgação de informações sobre segurança cibernética.