33.632 Kluczy Pix Wyciekły i 251 Milionów Numerów PESEL w Dark Web: Mapa 4 Incydentów z 2026 r. i Dlaczego BCB Celuje w Stablecoiny Podczas gdy Infrastruktura Rejestrów Krwawi

W ciągu 117 dni Banco Central do Brasil wydał cztery oficjalne komunikaty dotyczące wycieku danych kluczy Pix. 33.632 klucze zidentyfikowane w wycieku — między Agibamkiem, Prokuraturą Stanu Goiás, Pefisą i Credifit. Suma doprowadza system do 24. incydentu od uruchomienia w listopadzie 2020.

W tym samym okresie agent znany jako Buddha wystawił na sprzedaż w dark web bazę MORGUE: 251,7 milionów rekordów łączących numer PESEL, imię i nazwisko, pochodzenie, datę urodzenia i — w części przypadków — datę śmierci. Cena: 500 dolarów w Bitcoin. Ministerstwo Zarządzania i Innowacji w Usługach Publicznych zaprzeczyło włamaniu do Gov.br.

To czwarty raz w ciągu dwunastu miesięcy, kiedy piszemy to zdanie w różnych wariacjach. Pierwszy był artykuł o Czarnym Kwietniu Brazylijskiego Internetu. Drugi, artykuł Brazylia Pod Ogniem, w 8 dni w oknie BTG-Rendimento-Notre Dame-Morgue. Trzeci, przypadek Digitro/Guardian, z 150 brazylijskich agencji ujawnionych przez łańcuch dostaw. Czwarta to ta.

Oś dzisiejszej reportażu to już nie "doszło do wycieku". To coś innego: dlaczego, podczas gdy BCB buduje najbardziej rygorystyczne na świecie ramy regulacyjne dotyczące krypto i samodzielnych portfeli, krajowa infrastruktura rejestrów krwawi w tempie jednego incydentu miesięcznie — a ramy regulacyjne ochrony tej infrastruktury pozostają nieproporcjonalnie słabe?

Mapa 4 Incydentów Pix z 2026 r.

Każdy z czterech ma inną topologię. Patrząc sekwencyjnie, widać, że podatność nie jest skoncentrowana — jest rozpowszechniona.

#1 — Agibank (luty): 5.290 kluczy, 21. incydent od 2020 r.

Pierwszy komunikat z 2026 r. wyszedł w lutym. Dane rejestracyjne 5.290 kluczy Pix klientów Banku Agibank zostały ujawnione. Okno wycieku, według BC, przypadało na 26 grudnia 2024 do 30 stycznia 2025 — to znaczy incydent rozpoczął się pod koniec poprzedniego roku i zajął cały cykl detencji+raportu+upublicznienia, aby dotrzeć do publiczności w lutym 2026.

Ten schemat opóźnienia jest strukturalny w regulacji Pix BCB: cykl powiadomienia działa poprzez okna czasowe. Obywatel dowiaduje się, że jest ujawniony 6-12 miesięcy po fakcie. Według regulacji, to jest "przejrzystość opóźniona". Dla operatora oszustwa, to osiem miesięcy bez kosztów dezaktualizacji bazy.

#2 — Prokuratura Stanu Goiás (1 marca): 93 rekordy, typ incydentu, który najbardziej niepokoi

Miało miejsce 1 marca: nieautoryzowany dostęp do systemu obsługiwanego przez Prokuraturę Stanu Goiás. 93 rekordy ujawnione. Mała objętość — ale topologia to punkt.

To nie jest przypadek fintecowej z nową infrastrukturą i zespołem bezpieczeństwa w trakcie budowy. To system organu konstytucyjnego Państwa, z dostępem do kluczy Pix pracowników i — prawdopodobnie — osób badanych. Podatność nie była na handlowej krawędzi Pix. Była w autoryzowanym dostępie instytucjonalnym.

To ten sam schemat, który zmapowaliśmy w przypadku Digitro/Guardian: problem nie polega na tym, że obywatel używa Pix w niebezpieczny sposób, ale na infrastrukturze państwowej monitorowania i przetwarzania będącej punktem wejścia. Pix to produkt końcowy. Rura, która dostarcza Pix do Państwa, przecieka najpierw.

#3 — Pefisa/Pernambucanas (marzec): 28.203 klucze wyciekły przez sześć miesięcy bez detencji

Najpoważniejszy incydent w skali roku. 28.203 klucze Pix Pefisy — firmy finansowej grupy Pernambucanas — ujawnione. Okno wycieku podane przez BC to coś, co niepokoi: od 30 sierpnia 2025 do 27 lutego 2026. Sześć miesięcy ciągłego ujawnienia bez wewnętrznej detencji.

Dlaczego to ważne? Ponieważ cykl detencji w każdym rozsądnym protokole SIEM działa w skali godzin do dni dla anomalii dostępu. Sześć miesięcy wskazuje, że oczekiwana kontrola kompensacyjna nie funkcjonowała, lub że nieautoryzowany dostęp był traktowany jako legitymy przez ten okres.

BC w komunikacie powtarza formułę: "ujawnione dane rejestracyjne nie umożliwiają transferu środków". Sformułowanie jest technicznie poprawne. Ale bezpośredni transfer to nie wektor — to zasilanie operacji inżynierii społecznej wobec 28 tysięcy poszkodowanych osób, które teraz mają dane klucza-Pix powiązane z imieniem, kontem, instytucją.

#4 — Credifit (komunikat 12 maja): 46 kluczy i pierwsza publiczna rozbieżność między BCB a instytucją

Czwarty komunikat, opublikowany 12 maja 2026, odnosi się do incydentu, który miał miejsce od 26 do 28 kwietnia, dotyczący 46 kluczy Pix przechowywanych przez Credifit Sociedade de Crédito Direto. Mała objętość. Ale historia ma nową warstwę.

BCB scharakteryzował zdarzenie jako "punktowe usterki w systemie Credifit". Credifit opublikował notę podważającą: zdarzenie, według SCD, wynikało z "niewłaściwego użycia legitymatycznych poświadczeń uzyskanych poza środowiskiem Credifit". To pierwsza publiczna rozbieżność między BCB a instytucją uczestniczącą dotycząca charakterystyki incydentu Pix.

Niezgoda ma znaczenie prawne. Jeśli była to usterka systemowa Credifit, istnieje naruszenie administracyjne i możliwa sankcja. Jeśli było to użycie poświadczeń uzyskanych w trzecich — jak w kampaniach credential stuffing podobnych do przypadku PexRat/Binance, który relacjonowaliśmy — Credifit jest ofiarą, nie przyczyną.

Co ta rozbieżność również sygnalizuje: protokół powiadomienia Pix BCB wciąż nie odróżnia, w publicznym komunikacie, przyczyny głównej. Traktuje bardzo istotne różnice (wewnętrzna podatność vs. poświadczenie wyciekłe u trzeciego) pod tym samym etykiecie "punktowa usterka". Efekt na obywatela jest ten sam. Efekt na przemysł, nie.

MORGUE: czarny łabędź równoległy z 18 kwietnia

Podczas gdy cztery incydenty Pix toczyły się w tempie oficjalnego komunikatu, 18 kwietnia w dark web pojawił się to, co mogłoby być największym wyciekiem tożsamości podatkowej, jaki kiedykolwiek krążył w Brazylii. Agent, zidentyfikowany przez handles Buddha, #bigF i #Shinigami w postach, nazwał bazę MORGUE — nazwa jest spójna z treścią: żywe rekordy skrzyżowane z rekami osób zmarłych.

Dataset, zgodnie z próbkowaniem rozpowszechnianym przez samego aktora i zwalidowanym przez niezależnych analityków, zawiera:

• 251,7 milionów rekordów — liczba wyższa niż populacja Brazylii (około 213 milionów), co wskazuje na włączenie osób zmarłych i wiele rekordów na numer PESEL;
• Struktura: numer PESEL, pełne imię i nazwisko, płeć, data urodzenia, nazwiska rodziców (pochodzenie) i, w znacznej części przypadków, data śmierci;
• Atrybucja sugerowana przez aktora: powiązanie z portalem Gov.br;
• Cena: 500 dolarów płaconych w Bitcoin;
• Hashtagi promocyjne: #Brazil #NationalID #LeakedData.

Ministerstwo Zarządzania i Innowacji w Usługach Publicznych, odpowiedzialne za Gov.br, oficjalnie poinformowało, że "nie ma rejestracji włamań lub wycieków w systemie". Sformułowanie jest dosłowne: może być prawdą, że Gov.br jako portal nie został włamany, i jednocześnie prawdą, że dataset agreguje informacje dostępne z wielu źródeł na przestrzeni lat — baz Federalnego Urzędu Skarbowego, rejestrów cywilnych, poprzednich wycieków, scrapingu baz publicznych — przebrandowane jako "Gov.br" dla celów marketingu kryminalnego.

Analitycy threat intelligence wysłuchani przez specjalistyczne media zbiegają się wokół hipotezy remixu: poprzednie wycieki przearanżowane pod nowym brandingiem. Mimo to baza jest funkcjonalna. Ryzyko dla firm i obywateli jest takie samo jak w przypadku oryginalnego wycieku — ponieważ operacja oszustwa, która potrzebuje numeru PESEL+imienia+nazwiska+pochodzenia+daty urodzenia, nie rozróżnia, czy dane pochodzą z Serpro w 2021 czy od Buddy w 2026.

Co MORGUE robi zatem, to operacja rynkowa: ponowne umieszczenie w aktywnym obiegu, na dostępnym forum, 251 milionów rekordów, które były rozproszone w silosach.

Wspólny mianownik: rejestr to wektor

BCB powtarza we wszystkich czterech komunikatach Pix: "ujawnione dane rejestracyjne nie umożliwiają transferu środków". Technicznie poprawne. Ale bezpośredni transfer nigdy nie był istotnym wektorem.

Rejestr to zasób operacyjny, ponieważ umożliwia:

1. Inżynierię społeczną z pozorną legitymnością. Operator oszustwa zna klucz Pix, instytucję, numer oddziału i typ konta. Dzwoni do obywatela udając się za pracownika banku z danymi, które żaden obcy nie powinien mieć. Wskaźnik konwersji wzrasta.
2. Pig butchering z pochodzeniem krajowym. Rozdział Brazylii w Chainalysis 2026 pokazał, że część operacji handlu ludźmi w Azji Południowo-Wschodniej ma cel brazylijski. Krajowy dataset rejestracyjny obniża koszt segmentacji tych centrów.
3. Podmianę tożsamości w przepływach KYC. Defensywni dostawcy KYC wymagają rejestru+selfie+OCR. Wyciekły rejestr służy do fałszowania odpowiedzi w przepływach o niskiej tarciu — otwarcie konta cyfrowego, zaciągnięcie kredytu, aktywacja linii mobilnej.
4. Inicjalizację trojana Pix. GoPix i warianty funkcjonuje na urządzeniu ofiary po inicjalnym kontakcie. Ten inicjalny kontakt jest bardziej persuazyjny, gdy operator wzywa ofiarę po imieniu i nazwisku + ostatnią cyfrę numeru PESEL.

Wyciek rejestracyjny to nie "ujawnienie niskiego ryzyka". To surowiec operacji. I kiedy dostępna baza skoczy z 5 tysięcy na 251 milionów rekordów, koszt krańcowy każdej operacji oszustwa spada.

Asymetria BCB: stablecoin na młocie, Pix w zapaleniu

Najbardziej widoczny kontrast ostatnich dwunastu miesięcy to regulacyjny. Z jednej strony:

• Uchwała 561 BCB: zakazuje stablecoinów i krypto w rozliczeniu płatności transgranicznych od października, uderza w front, gdzie Brazylia przenosi 6-8 miliardów USD miesięcznie w przepływie krypto;
• Uchwała 521 (Dzień D 4-maj): wprowadza indywidualny portfel samodzielny do radaru walutowego — Załącznik II-A już prowokuje dyskusję konstytucyjną;
• Uchwała 519, na temat nadzoru PSAV: wejście w życie 4 maja, integruje się z 561 i 521 w kompletne oblężenie;
• Uchwały 5.298 CMN: blokada rynków predykcyjnych (Polymarket, Kalshi) z wejściem w życie również 4 maja.

Z drugiej strony, aparatura ochrony kluczy Pix:

• Publiczny komunikat z opóźnieniem 6-12 miesięcy między zdarzeniem a powiadomieniem obywatela;
• Zastosowanie "miar sankcyjnych", których przejrzystość co do kwoty i czasowania jest niska;
• Brak wyraźnej typifikacji w publicznym komunikacie przyczyny głównej (usterka systemowa vs. poświadczenie u trzeciego);
• Bez publicznego harmonogramu wzmacniania krajowej infrastruktury rejestracyjnej powiązanej z Pix.

Punkt to nie zbyt dużo regulacji krypto. To zbyt mało regulacji rejestracyjnej. I ta asymetria ma przewrotny koszt dystrybucyjny: największą stratę ponosi średni użytkownik Pix, który jest również obywatelem bez kapitału, aby się chronić przed oszustwem po wycieku.

Mapowanie VECERT, które relacjonowaliśmy w kwietniu, już przyniosło liczbę: 32 aktywnych aktorów zagrożeń w Brazylii w oknie 90 dni, ze sprzedażą 29,8 terabajtów danych, 214 skompromitowanych jednostek, 1.752 korporacyjne serwery SMTP na sprzedaż. Buddha to tylko aktor, który otrzymał okładkę w tym miesiącu. Warstwa za nią jest strukturalna, nie punktowa.

Perspektywa ON3X

Trzy interpretacje pełnego obrazu: cztery incydenty Pix, MORGUE równolegle, i nierównowaga regulacyjna, która utrzymuje asymetrię.

1. Prawidłowa oś oceny Pix to nie transfer finansowy — to rejestr. Kiedy BCB broni w komunikacie, że "nie doszło do ujawnienia wrażliwych danych", stosuje definicję wrażliwości, która zatrzymała się na tradycyjnej perspektywie bankowej (saldo, hasło, wyciąg). Dla nowoczesnego ekosystemu oszustw rejestr to zasób pierwszego rzędu. Dopóki oficjalny dyskurs utrzymuje tę definicję, wielkość problemu będzie niedoszacowana w komunikacji publicznej.

2. Okno detencji sześć miesięcy (przypadek Pefisy) jest niezgodne z tempem nowoczesnego exploitu. Opóźnienie między rozpoczęciem wycieku a wewnętrzną detencją przez uczestniczącą instytucję to najbardziej krytyczny punkt techniczny obrazu z 2026 r. W każdym protokole monitorowania dostępu działającym z przyzwoitą linią bazową ML anomalie sprzed sześciu miesięcy powinny wyzwolić alarm. Że to się nie dzieje w SCD, finanserce detalicznej i nawet w systemach MP stanowego wskazuje na lukę zdolności — nie lukę reguł. Regulacja bez zdolności pozostaje na papierze.

3. Agresywna regulacja krypto bez odpowiedniej regulacji rejestracyjnej generuje negatywne efekty uboczne. Brazylia buduje najbardziej rygorystyczny aparature MiCA-like poza Europą dla krypto (Uchwały 561+521+519), ale utrzymuje krajową infrastrukturę rejestracyjną w reżimie powtarzających się incydentów. Efekt zagregowany jest przeciwny do zamierzonego: obywatel jest pchany poza formalnym kryptem (gdzie byłoby KYC kontrolowane) i utrzymywany w systemie Pix narażonym. Operacja oszustwa czerpie korzyści zarówno z wyciekniętego rejestru, jak i niewidoczności nieformalnego krypto. Polityka "chroni młotem tam, gdzie jest proces licencjonowania, ignoruje tam, gdzie potrzeba wzmacniania" dostarcza gorzej z obu światów.

Cztery incydenty w 117 dni. 251 milionów numerów PESEL wracających do obiegu. Dwadzieścia cztery przypadki od 2020 roku. A jednak oficjalny dyskurs powtarza, że "wrażliwe dane nie zostały ujawnione". Definicja wrażliwości musi być zaktualizowana — zanim wyjdzie piąty komunikat.

Często zadawane pytania

Ile wycieków danych Pix miało miejsce w 2026 r.?

Cztery do 18 maja 2026 r. W kolejności: Agibank w lutym (5.290 kluczy), Prokuratura Stanu Goiás 1 marca (93 rekordy), Pefisa/Pernambucanas w marcu (28.203 klucze) i Credifit w komunikacie 12 maja (46 kluczy). Razem: 33.632 klucze Pix ujawnione, prowadzące system do 24. incydentu od uruchomienia w listopadzie 2020.

Co to jest baza MORGUE?

MORGUE to nazwa przyznana przez agenta zidentyfikowanego jako Buddha (z tagami #bigF i #Shinigami w postach) bazie 251,7 milionów rekordów łączących numer PESEL, pełne imię i nazwisko, płeć, datę urodzenia, pochodzenie i — w części przypadków — datę śmierci. Wystawiona na sprzedaż w dark web 18 kwietnia 2026 r. za kwotę 500 dolarów w Bitcoin. Ministerstwo Zarządzania i Innowacji w Usługach Publicznych zaprzeczyło włamaniu do Gov.br, a dominująca hipoteza wśród analityków to remix poprzednich wycieków przearanżowany pod nowym brandingiem.

Czy moje dane zostały ujawnione w którymś z incydentów Pix?

Banco Central określa, że powiadomienie obywatela, którego to dotyczy, odbywa się wyłącznie poprzez aplikację lub bankowość internetową instytutu finansowego — nigdy poprzez SMS, e-mail, WhatsApp lub rozmowę telefoniczną. Każdy kontakt przez te kanały twierdząc o wycieku Pix jest z założenia oszustwem. Potwierdź wyłącznie za pośrednictwem oficjalnej aplikacji twojej instytucji.

Czy wyciek kluczy Pix pozwala na transfer pieniędzy z mojego konta?

Nie bezpośrednio. Banco Central podkreśla we wszystkich komunikatach, że dane chronione tajemnicą bankową — salda, wyciągi, hasła, transfery — nie są ujawniane. Rzeczywiste ryzyko jest pośrednie: dane rejestracyjne umożliwiają inżynierię społeczną z pozorną legitymością, segmentację pig butchering, oszukańczą zaciągnięcie kredytu lub linii mobilnej poprzez podmianę tożsamości i inicjalizację trojanów Pix.

Co Brazylia reguluje w krypcie w tym czasie?

BCB zbudował w 2026 r. aparaturę regulacyjną łączącą Uchwałę 561 (zakazuje stablecoinów i krypto w rozliczeniu płatności transgranicznych, wejście w życie październik), Uchwałę 521 (wprowadza indywidualny portfel samodzielny do radaru walutowego, wejście w życie 4 maja) i Uchwałę 519 (reguluje PSAV i nadzór krypto). Kontrast z regulacją Pix — gdzie średnie opóźnienie między zdarzeniem a publicznym komunikatem wynosi 6-12 miesięcy — to krytyczna oś asymetrii.