Vazaram 223 Milhões de CPFs em 2021: o que fazer 5 anos depois

Em janeiro de 2021, a empresa de segurança PSafe divulgou o primeiro alerta sobre o que seria o maior vazamento de dados da história do Brasil. Um banco de dados com informações de 223 milhões de CPFs foi disponibilizado em fóruns criminosos na internet, e desde então circula livremente nesses ambientes. Se você é brasileiro, há uma chance muito alta de que seus dados pessoais façam parte desse conjunto. A boa notícia: há passos práticos que você pode dar agora para reduzir o risco real.

O que foi o "Vazamento Monstro" de 2021

Ainda em janeiro de 2021, pesquisadores de segurança confirmaram a existência de um arquivo massivo com dados de brasileiros circulando em fóruns voltados para atividades criminosas. A mídia e a comunidade de segurança digital rapidamente apelidaram o incidente de "Vazamento Monstro", e o apelido diz muito sobre a escala do problema.

Como os dados chegaram aos criminosos

A origem exata do vazamento nunca foi confirmada oficialmente. As investigações apontaram para empresas chamadas de "agregadores de dados", negócios que coletam informações de diversas fontes (cartórios, cadastros comerciais, registros públicos) e constroem perfis detalhados de pessoas para venda.

A ANPD (Autoridade Nacional de Proteção de Dados) abriu investigação sobre o caso, mas a responsabilização jurídica de um incidente dessa magnitude enfrenta desafios práticos significativos. O processo ainda serve de referência sobre como a lei pode, e deve, ser aplicada em situações semelhantes.

O que estava no banco de dados além do CPF

O arquivo não continha apenas o número do CPF. Segundo análise da PSafe/dfndr lab divulgada à época, pesquisadores identificaram, entre os registros, campos como nome completo, data de nascimento e endereço residencial, embora a composição exata dos campos variasse conforme a fonte dos dados e nem todos os campos tenham sido confirmados de forma uniforme por pesquisadores independentes.

Esse nível de detalhe transforma o CPF de um simples número em um dossiê parcial, o tipo de informação que facilita fraudes sem exigir acesso a sistemas financeiros diretamente.

Por que 223 milhões se o Brasil tem cerca de 215 milhões de habitantes?

Essa foi uma das primeiras perguntas quando os pesquisadores divulgaram os números. A resposta é simples, mas revela como esses bancos de dados criminosos funcionam.

CPFs não são desativados após a morte. O número permanece ativo no cadastro da Receita Federal mesmo depois do falecimento do titular, o que significa que o arquivo inclui registros de pessoas que morreram há décadas.

Além disso, o material foi construído a partir de múltiplas fontes ao longo de anos. Bancos de dados criminosos raramente vêm de uma única empresa ou de um único incidente, eles são montados como um quebra-cabeça, cruzando informações de origens diferentes. A presença de falecidos confirma exatamente isso: o conteúdo foi agregado e enriquecido progressivamente, não extraído de um sistema só em uma única noite.

O risco ainda é real em 2026?

Cinco anos depois, é tentador pensar que o assunto "passou". Com dados pessoais, não funciona assim.

Dados pessoais não têm prazo de validade

Diferente de uma senha, que você pode trocar —, o CPF é permanente. A Receita Federal não oferece mecanismo para cancelar ou substituir o número. Seu nome completo, data de nascimento e CPF são os mesmos que eram em 2021. Qualquer criminoso que tenha acesso a esse banco de dados ainda tem informações válidas sobre você.

Novos vazamentos cruzam e enriquecem as bases antigas

Desde 2021, outros incidentes menores foram reportados no Brasil, vazamentos de lojas, plataformas de e-commerce e empresas de serviços financeiros que, individualmente, seriam menos graves. O problema é que essas informações são constantemente cruzadas com as bases mais antigas.

Na prática, o perfil que um criminoso tem de você em 2026 pode ser mais completo do que o que existia em 2021, com e-mails, senhas antigas, números de telefone e histórico de transações adicionados ao longo dos anos. Segundo empresas de inteligência em segurança digital que monitoram o cenário brasileiro, o volume de incidentes reportados no país cresceu de forma consistente nos anos seguintes ao vazamento, o que sugere que o ambiente de ameaças não melhorou, mas se intensificou.

O que criminosos fazem com o seu CPF

Ter acesso a um CPF com dados pessoais completos abre várias portas para quem quer aplicar golpes. Veja os mais comuns no contexto brasileiro.

Fraudes financeiras abertas em seu nome

Com nome completo, CPF, data de nascimento e endereço, criminosos conseguem abrir contas em bancos digitais, solicitar cartões de crédito e contratar empréstimos, tudo sem a sua participação. Esse tipo de fraude muitas vezes só é descoberto meses depois, quando cobranças de dívidas desconhecidas aparecem no seu nome ou seu crédito é recusado sem motivo aparente.

Phishing "cirúrgico": quando o golpista já te conhece

O phishing tradicional é a mensagem genérica que diz "você ganhou um prêmio". Fácil de ignorar. O phishing cirúrgico é diferente: a mensagem cita seu nome, menciona seu banco específico e inclui os últimos dígitos do seu CPF "para confirmação de segurança".

Essa personalização é possível porque o criminoso já tem seu dossiê. A mensagem parece legítima porque inclui informações que, na sua cabeça, "só o banco deveria saber". Essa é a armadilha, e ela funciona com mais frequência do que deveria.

Fraudes no Pix e clonagem de identidade digital

No ecossistema do Pix, criminosos se passam pela vítima para pedir transferências urgentes a familiares e contatos. O roteiro é clássico: mensagem de WhatsApp com número desconhecido, fingindo ser você, com urgência fabricada e pedido de Pix. O fato de a mensagem incluir detalhes reais, nome, banco, talvez um valor de conta, aumenta a credibilidade do golpe.

Em casos mais elaborados, criminosos cadastram sua identidade em marketplaces e plataformas de serviços, aplicando golpes em terceiros com o seu nome.

Como descobrir se o seu CPF foi exposto

A pergunta mais comum é: "existe uma ferramenta que diz se meu CPF estava no vazamento de 2021?"

A resposta honesta é: não existe uma ferramenta confiável e gratuita que confirme isso com precisão. Alguns sites oferecem essa consulta, mas vale cautela, inserir seu CPF em sites desconhecidos pode ser contraproducente e até perigoso.

A postura mais segura é assumir que sim, seu CPF provavelmente está em alguma das bases que circulam, e agir preventivamente.

Ferramentas oficiais e gratuitas de monitoramento

Registrato (Banco Central): Disponível em registrato.bcb.gov.br, o Registrato permite ver todas as contas bancárias e chaves Pix vinculadas ao seu CPF. É gratuito, oficial e leva menos de 5 minutos. Se aparecerem contas ou chaves que você não reconhece, isso é um sinal de alerta sério que exige ação imediata junto ao banco envolvido.

Serasa e outros birôs de crédito: O Serasa oferece consulta gratuita ao seu histórico de crédito e, dependendo do plano e das funcionalidades disponíveis no momento, pode enviar alertas quando seu CPF é utilizado para consultas de crédito, o que pode indicar que alguém está tentando contratar serviços no seu nome. Verifique as opções disponíveis diretamente no site ou aplicativo do Serasa.

Portal da Receita Federal: Permite consultar a situação cadastral do seu CPF. Uma situação "irregular" ou alterações cadastrais que você não reconhece podem indicar uso indevido.

Sinais de alerta no dia a dia

Fique atento a cobranças de dívidas que você não reconhece chegando por carta, SMS ou ligação; recusa de crédito sem motivo aparente; e-mails de confirmação de cadastro em serviços que você nunca acessou; mensagens de recuperação de senha que você não solicitou; e contatos de familiares perguntando sobre pedidos de Pix que você nunca fez. Qualquer um desses sinais merece investigação imediata.

5 passos práticos para se proteger agora

Não é possível apagar seus dados dos bancos criminosos que já existem. Mas é possível, e vale muito, tornar o uso desses dados mais difícil. Cada camada de proteção que você adiciona reduz significativamente o risco prático.

1. Verifique o Registrato e monitore seu crédito

Acesse registrato.bcb.gov.br e verifique se há contas ou chaves Pix desconhecidas associadas ao seu CPF. Faça isso agora e estabeleça uma rotina, uma verificação trimestral é suficiente para a maioria das pessoas. Ative também o alerta de consulta de crédito nos birôs para ser notificado quando alguém tentar usar seu CPF para contratar serviços financeiros.

2. Ative alertas em tempo real nos seus bancos

A maioria dos bancos, tradicionais e digitais, oferece notificações por aplicativo para cada transação. Ative essas notificações agora. Se uma transação suspeita aparecer, você pode acionar o banco imediatamente para contestar e bloquear. Minutos fazem diferença em fraudes financeiras; descobrir o problema no extrato do fim do mês já é tarde demais.

3. Use senhas únicas com um gerenciador de senhas

Se você usa a mesma senha em vários serviços, um único vazamento pode comprometer tudo ao mesmo tempo. Senhas reutilizadas são um dos principais amplificadores de dano em incidentes de segurança.

Um gerenciador de senhas cria e armazena senhas longas e únicas para cada serviço, você precisa lembrar apenas de uma senha mestra. Essa mudança de hábito, sozinha, resolve uma das vulnerabilidades mais comuns. O TAIVA Vault (vault.taiva.com.br) é uma opção brasileira para gerenciar suas senhas com segurança, sem depender de memória.

4. Ative verificação em dois fatores em tudo

A verificação em dois fatores (2FA, ou autenticação em duas etapas) adiciona uma segunda camada além da senha. Mesmo que um criminoso saiba sua senha, seja porque você a reutilizou ou porque ela vazou —, ele não consegue entrar sem o segundo fator.

Priorize o 2FA no e-mail principal, em todos os bancos e fintechs, no WhatsApp, nas redes sociais e em qualquer serviço com informações financeiras ou pessoais sensíveis. Aplicativos de autenticação são mais seguros do que SMS, mas SMS já é muito melhor do que não ter nada.

5. Desconfie de quem "já sabe seus dados"

Esse é o ponto mais contra-intuitivo: o fato de alguém conhecer seu CPF, nome completo, banco e até os últimos dígitos do seu cartão não prova que é quem diz ser. Qualquer pessoa com acesso ao banco de dados de 2021 tem essas informações.

Se receber uma ligação ou mensagem de "banco", "Receita Federal" ou "Serasa" com urgência e pedindo alguma ação ou dado adicional: desligue e ligue de volta para o número oficial da instituição, que você mesmo pesquisou. Nunca clique em links enviados nesse contexto, por mais legítimos que pareçam.

O que você não pode mais fazer, e o que ainda pode

Ser honesto sobre os limites é importante para não criar falsas expectativas.

O que não é mais possível: apagar seu CPF dos bancos de dados criminosos que já circulam pela internet. Esses arquivos foram copiados, repassados e revendidos inúmeras vezes ao longo de cinco anos. Não existe um botão de "remoção" que funcione nesse contexto.

O que está no seu controle: dificultar ao máximo o uso desses dados. Um CPF sem acesso às suas contas (protegidas por 2FA e senhas únicas) e sem a possibilidade de te enganar com phishing (porque você já conhece a armadilha) vale muito menos para um criminoso.

A LGPD trouxe obrigações reais para empresas que tratam seus dados, elas precisam notificar incidentes, implementar proteções e responder a pedidos de exclusão. Mas a proteção prática começa com hábitos seus. O objetivo não é paranoia nem vigilância constante, é reduzir a superfície de ataque com ações pontuais e verificáveis, a maioria das quais leva menos de 30 minutos para implementar.

Conclusão: seu CPF já está por aí, o que importa é o que vem depois

Cinco anos depois do Vazamento Monstro, a realidade é que seus dados pessoais provavelmente circulam em algum lugar que você não controla. Isso é frustrante, mas não é o fim da história.

O conjunto de cinco passos, verificar o Registrato, ativar alertas bancários em tempo real, usar um gerenciador de senhas com credenciais únicas, habilitar o 2FA em todos os serviços críticos e desenvolver ceticismo saudável com quem "já sabe tudo" sobre você, cobre a maioria dos vetores de ataque que partem de um CPF vazado.

Esses passos não eliminam o risco, mas reduzem drasticamente a probabilidade de que seu CPF vazado se converta em um prejuízo real. E é exatamente isso que a segurança digital prática propõe: não a ilusão de invisibilidade total, mas a redução consistente do risco.

Se você ainda não tem um gerenciador de senhas, esse é o passo com melhor relação entre esforço e impacto. O TAIVA Vault (vault.taiva.com.br) foi criado para proteger suas credenciais com criptografia, sem depender da sua memória e sem deixar você vulnerável quando o próximo vazamento acontecer.

Este artigo é informacional e não substitui consulta jurídica. Para questões relacionadas à LGPD, direitos de titulares de dados ou notificações de incidentes, consulte um advogado especializado em proteção de dados ou a Autoridade Nacional de Proteção de Dados (ANPD).