Caso “MORGUE” reacende debate sobre fraudes digitais, identidade sintética e fragilidade de processos que ainda usam dados cadastrais como validação de identidade
São Paulo, junho de 2026 – O surgimento da suposta base “MORGUE”, anunciada na dark web com 251.720.444 registros de CPF e dados pessoais de brasileiros, reacendeu um alerta para empresas de todos os setores: CPF, data de nascimento, nome da mãe e demais informações cadastrais já não podem ser tratados como mecanismos de autenticação. Embora a origem e a veracidade da base ainda estejam sob análise, a LC SEC, consultoria especializada em cibersegurança e compliance, avalia que o principal risco não está apenas em um possível vazamento, mas no uso desses dados para alimentar fraudes cadastrais, engenharia social e golpes de identidade sintética.
A base foi anunciada em abril de 2026 e estaria sendo comercializada por US$ 500 em Bitcoin. Segundo informações divulgadas publicamente, os registros incluem CPF, nome completo, gênero, filiação, data de nascimento, raça, cidade de nascimento e, em parte dos casos, dados de óbito. O Ministério da Gestão e da Inovação negou qualquer registro de invasão ao Gov.br, enquanto o CSIRT.DF informou que ainda não foi possível confirmar a origem, a autenticidade e a integridade do material.
Para a LC SEC, independentemente da origem da base, o episódio evidencia uma mudança necessária na forma como empresas validam identidades. “Mesmo que a origem da base MORGUE ainda não esteja confirmada, o alerta é real. O Brasil precisa parar de tratar CPF como senha, porque o CPF identifica uma pessoa, mas não autentica. Quando uma empresa valida um cliente apenas com CPF, data de nascimento ou nome da mãe, ela está usando informações que possivelmente já circulam em bases expostas há anos”, afirma Luiz Claudio, CEO e fundador da empresa.
Na avaliação de Luiz Claudio, casos como o MORGUE expõem um problema estrutural da economia digital brasileira em que muitos processos ainda tratam dados cadastrais como informações secretas, quando boa parte desses elementos já circula em vazamentos antigos, bases recombinadas e exposições acumuladas ao longo dos anos. “O risco para as empresas não está apenas no vazamento em si, mas no efeito operacional que ele produz. Bases como essa podem ser usadas para fraudes em cadastros, recuperação indevida de acessos, abertura de contas em nome de terceiros, golpes contra centrais de atendimento e ataques de engenharia social cada vez mais convincentes”, explica.
Para o especialista, a combinação entre grandes bases de dados expostos e ataques de engenharia social torna os processos tradicionais de autenticação cada vez mais vulneráveis. Isso ocorre porque fraudadores conseguem reunir informações verdadeiras de uma pessoa para superar etapas simples de validação e construir perfis capazes de enganar sistemas, atendentes e mecanismos de recuperação de acesso. A Resolução CD/ANPD nº 15/2024 estabelece que incidentes capazes de gerar risco ou dano relevante aos titulares podem exigir comunicação à Autoridade Nacional de Proteção de Dados e aos próprios titulares em até três dias úteis.
Empresas devem revisar imediatamente fluxos de cadastro, onboarding digital, recuperação de conta e atendimento ao cliente que utilizem apenas informações cadastrais como mecanismo de validação. A recomendação é combinar autenticação multifator, análise contextual de risco, monitoramento de credenciais expostas, validação de dispositivos, biometria com prova de vida quando aplicável e controles antifraude capazes de identificar comportamentos anômalos.
A LC SEC recomenda que cidadãos evitem informar CPF ou outros dados pessoais em sites desconhecidos que prometem verificar se informações foram vazadas. Esse tipo de consulta deve ser realizado apenas por meio de plataformas reconhecidas, canais oficiais ou ferramentas especializadas de monitoramento. Segundo Luiz Claudio, o caso representa um alerta para toda a economia digital. “A discussão não deveria ser se o CPF de alguém vazou ou não. O ponto central é entender que dados cadastrais já não podem ser considerados prova de identidade. Empresas que continuarem tratando essas informações como fator principal de autenticação estarão cada vez mais expostas a fraudes, perdas financeiras e danos reputacionais”, conclui.
Sobre a LC SEC
A LC SEC é uma consultoria especializada em segurança da informação e compliance, com atuação no Brasil e na Europa há mais de 10 anos. A empresa já executou mais de 150 projetos em cibersegurança e adequação a normas internacionais, incluindo ISO 27001, ISO 42001, SOC2, PCI DSS, NIST, LGPD, GDPR e DORA. Em 2025, ampliou seu portfólio com soluções inovadoras de Threat Intelligence baseadas em IA e auditorias internas.
