Mais de 250 milhões de dados expostos: Brasil enfrenta crise digital às vésperas da nova regulação cripto

Abril foi cruel com o Brasil digital. Em pouco mais de oito dias — entre 17 e 25 de abril de 2026 — o país acumulou alegações de comprometimento que envolvem, somadas, mais de 253 milhões de registros pessoais, o sistema de email do governo federal, dois domínios .gov.br e uma sigla partidária. Ao menos cinco atores diferentes — Buddha, NormalLeVrai, CDF, m0z1ll4s team e outros não nomeados — colocaram à venda ou expuseram, na dark web e em grupos do Telegram, dados que vão de mailing list ministerial a 251 milhões de CPFs supostamente extraídos do Gov.br.

O resultado é uma onda que começou difusa e virou, em 25 de abril, suficientemente grave para o CTIR Gov — o Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos do governo — publicar a Recomendação 05/2026, orientando órgãos federais a "dobrar os controles de acesso" em sistemas críticos. É o equivalente institucional a admitir que algo está fora de controle.

O que esse "Abril Negro" do Brasil digital expõe não é falta de regulação. É desbalanceamento. Enquanto o Banco Central liga, em 4 de maio, o regime de vigilância cambial sobre toda operação cripto internacional — e enquanto o CMN bloqueia 27 plataformas de mercado preditivo na mesma data — a infraestrutura digital do próprio Estado, no mês anterior à virada regulatória, está supostamente vazando em fóruns de cibercrime.

A linha do tempo do Abril Negro brasileiro

Cinco eventos consolidam o mês:

• 17 a 18 de abril — Sistema de email do governo federal alegadamente comprometido. O ator NormalLeVrai publica em rede social trecho de relatório do Power BI batizado de "2025 State Present", junto com mailing lists e notificações institucionais. O tweet de 18 de abril acumula 150,4 mil visualizações antes do ciclo de mídia pegar o caso.
• 18 de abril — A plataforma VECERT Threat Intelligence emite alerta sobre o banco de dados batizado de MORGUE: 251,7 milhões de registros de CPFs supostamente vinculados ao Gov.br, à venda na dark web por US$ 500 em bitcoin. O ator é identificado como Buddha; o suposto acesso teria ocorrido em 15 de março.
• 19 de abril — O Ministério da Gestão e da Inovação em Serviços Públicos, responsável pelo Gov.br, nega oficialmente o vazamento, afirmando que "não há registro de invasão" no sistema.
• 24 de abril — VECERT publica novo alerta: o ator CDF oferece, em fóruns de cibercrime, exploit de vulnerabilidade IDOR (Insecure Direct Object Reference) crítica em empresa brasileira não nomeada, com potencial de exfiltração de aproximadamente 2 milhões de registros de clientes. Não há, até a publicação desta matéria, identificação pública da empresa nem confirmação do incidente.
• 25 de abril — VECERT alerta sobre o grupo m0z1ll4s team, que afirma ter exfiltrado +102 mil registros de dois domínios: marianapimentel.rs.gov.br (prefeitura municipal) e psbrs.org.br (Partido Socialista Brasileiro do Rio Grande do Sul). Status: links de download foram disponibilizados pelos atacantes; vazamento ainda não foi oficialmente confirmado pelas entidades afetadas.

O quadro é mais grave do que a soma das partes. Porque cada um desses eventos, isolado, seria notícia. Concentrados em oito dias, viram padrão.

O caso MORGUE: 251 milhões de CPFs por US$ 500 em bitcoin

O alerta de maior magnitude veio em 18 de abril. Segundo a VECERT, o ator Buddha colocou à venda na dark web um banco de dados batizado de MORGUE — uma referência sombria à finalidade dos arquivos para fraude de identidade. O conjunto, de aproximadamente 25,1 GB, conteria 251,7 milhões de registros de CPFs, supostamente extraídos de bases vinculadas ao portal Gov.br.

Os campos descritos pelo próprio ator e validados pela VECERT em amostras parciais incluem:

• Nome completo
• Gênero
• Data de nascimento
• Filiação (nome dos pais)
• Raça (autodeclarada em sistemas públicos)
• Cidade de nascimento
• Em parte dos registros: data de óbito

O preço pedido — US$ 500 em bitcoin pelo dump completo — é absurdamente baixo para um banco de dados desse porte, e exatamente por isso é considerado pela VECERT um preço de comoditização: o ator não está tentando maximizar lucro por venda; está distribuindo o dataset rapidamente entre múltiplos compradores antes que o tema esfrie ou a fonte original seja remediada.

O Ministério da Gestão e da Inovação em Serviços Públicos, em nota de 19 de abril, negou categoricamente que o sistema Gov.br tenha sido invadido. A linha oficial é que "não há registro de invasão ou vazamentos no sistema". A VECERT manteve o alerta ativo, citando a granularidade dos dados como compatível com bases públicas estruturadas — sem necessariamente apontar o Gov.br como fonte única (poderia ser, em tese, agregação de bases públicas anteriores combinada com novo acesso a alguma camada estatal).

É a ambiguidade clássica de incidente moderno: o governo nega, o ator afirma, e a verdade processual só vai emergir, se emergir, em meses ou anos.

O ataque ao governo federal: NormalLeVrai e o "2025 State Present"

O incidente que começou a onda — cronologicamente o primeiro — foi o vazamento atribuído ao ator NormalLeVrai. Em 18 de abril, o ator publicou em rede social capturas de tela e amostras alegando ter controle administrativo completo do sistema de email do governo federal brasileiro. Os ativos comprometidos descritos:

• Sistema de email completo — emails e seus anexos, incluindo painel administrativo.
• Relatórios Power BI internos, com destaque para um documento batizado de "2025 State Present" — aparentemente uma compilação de indicadores institucionais.
• Listas de mailing internas.
• Notificações institucionais datadas de 18 de abril de 2026.

O tweet original, já com mais de 150 mil visualizações, mostra o que parece ser uma interface administrativa em português com elementos do EJA (Educação de Jovens e Adultos) — sugerindo que o sistema comprometido pode estar vinculado ao Ministério da Educação ou a algum outro órgão com sistema de email governamental compartilhado.

Não há, até o momento, comunicado oficial do governo federal confirmando ou negando o incidente. O silêncio institucional contrasta com a velocidade da negação no caso MORGUE — o que pode indicar tanto que o caso NormalLeVrai está sob investigação ativa quanto que o tipo de comprometimento alegado é de difícil descarte rápido.

Os outros casos: IDOR de 2 milhões e o duplo alvo no Rio Grande do Sul

Em 24 de abril, o alerta da VECERT sobre o ator CDF identificou, em fóruns de cibercrime, oferta de exploit ativo de uma vulnerabilidade IDOR (Insecure Direct Object Reference) crítica em empresa brasileira não nomeada publicamente, com base de aproximadamente 2 milhões de clientes.

IDOR é uma das vulnerabilidades mais subestimadas no OWASP Top 10. Em vez de quebrar autenticação, o atacante simplesmente manipula identificadores em URLs ou requisições de API — trocar ?user_id=123 por ?user_id=124 e ganhar acesso aos dados do usuário 124 sem precisar de senha. Quando explorada de forma sistematizada, permite baixar a base inteira em horas, programaticamente.

O perfil dos dados expostos descritos pelo ator — nomes, emails, documentos, histórico de compras — sugere comércio eletrônico ou fintech. A VECERT, na nota, classificou o risco como "goldmine para atores de roubo de identidade", dadas as 2 milhões de vítimas potenciais e a baixa complexidade técnica da exploração.

Em 25 de abril, o último alerta — sobre o grupo m0z1ll4s team. Os alvos: a prefeitura municipal de Mariana Pimentel, no Rio Grande do Sul (marianapimentel.rs.gov.br), e o Partido Socialista Brasileiro do Rio Grande do Sul (psbrs.org.br). Volume alegado: +102 mil registros exfiltrados, com links de download fornecidos pelos próprios atacantes para "validação".

O dado político é potencialmente sensível. Listas de filiados, contatos, estratégias de campanha, comunicação interna — material que, em ano eleitoral, vira munição. O status atual é "não confirmado oficialmente", mas a VECERT considerou os links suficientemente válidos para emitir alerta com nível alto.

A reação institucional: Recomendação CTIR Gov 05/2026

A resposta governamental veio em forma de Recomendação 05/2026 do CTIR Gov, publicada em 25 de abril. O documento orienta órgãos federais a:

1. Dobrar os controles de acesso em sistemas críticos — autenticação multi-fator obrigatória em todos os portais administrativos, sem exceção.
2. Auditar logs dos últimos 90 dias em busca de padrões anômalos, com foco específico em acessos noturnos, IPs estrangeiros e exfiltração massiva.
3. Revisar permissões de contas administrativas e remover acessos legados de fornecedores que já encerraram contrato.
4. Validar configurações de APIs públicas para reduzir superfície de exploração de IDOR e vulnerabilidades semelhantes.
5. Reportar incidentes ao CTIR Gov dentro de 72 horas, conforme política de incident response federal.

É a primeira vez no ano que o CTIR Gov publica recomendação dessa amplitude — e o timing, três dias após o caso MORGUE e horas após o alerta sobre o m0z1ll4s, deixa pouca dúvida sobre o gatilho institucional.

Vale lembrar que, segundo o levantamento mais recente, o governo federal registrou recorde de 3.253 incidentes de vazamento de dados em 2024. A Recomendação 05/2026 é tentativa de impor freio em uma curva ascendente — mas sem capilaridade orçamentária ou de pessoal, recomendação vira papel.

A ironia regulatória de 4 de maio

O ponto mais incômodo da narrativa não está nos atores. Está no calendário.

Em 4 de maio de 2026 — daqui a nove dias — o Brasil entra na fase mais ambiciosa de sua história em vigilância digital sobre o setor privado. Naquela data:

• Toda operação cripto cross-border passa a ser obrigatoriamente reportada ao Banco Central, com valor, finalidade, contraparte e país.
• 27 plataformas de mercado preditivo — Polymarket, Kalshi e companhia — passam a ser formalmente bloqueadas pelo CMN e pela Anatel.
• SPSAVs precisam comprovar capacidade econômica, reputação e estrutura de PLD para continuar operando.

É vigilância de Estado sobre fluxo digital privado, executada com velocidade e firmeza institucional. E é, em si, agenda regulatória defensável. Mas convive, de forma constrangedora, com a constatação de que, no mês imediatamente anterior à virada, o próprio Estado brasileiro tem alegações ativas de comprometimento de email federal, suposto vazamento de 251 milhões de CPFs e dois domínios .gov.br em fóruns de cibercrime.

O contraste de competência não é detalhe. É o ponto. Quando o Estado exige de exchanges, fintechs e empresas privadas o nível de higiene digital que ele próprio não consegue manter em sua infraestrutura, a legitimidade política do regime regulatório fica em xeque. Não no plano legal — a Resolução 5.298 e as Resoluções BCB 519/520/521 são válidas e vão ser cumpridas. No plano moral e técnico: como o BC orienta SPSAV a montar PLD de classe mundial enquanto o sistema de email do governo federal supostamente circula em download direto de Telegram?

O risco real para o cidadão e para o investidor cripto

Para o brasileiro comum, o risco operacional desses vazamentos é direto e tem três camadas:

• Roubo de identidade clássico. Com nome, CPF, filiação e data de nascimento, abre-se conta bancária, contrata-se crédito, registra-se empresa em nome de terceiro. O caso MORGUE, se confirmado, reabastece o mercado de fraude por anos.
• Phishing dirigido. Mailing lists do governo federal, listas do PSB-RS, dados de clientes da empresa atingida pelo IDOR — tudo isso vira insumo para campanhas de phishing personalizadas, com alta taxa de conversão. Combinado com técnicas como o Mach-O Man do Lazarus que atinge execs cripto via Zoom falso, a sofisticação é exponencial.
• Combo brasileiro. O trojan GoPix, ativo desde 2026, especializou-se em fraudar Pix e roubar carteiras cripto locais. Com dados pessoais detalhados em mãos do atacante, a engenharia social fica devastadora — o golpista sabe nome do pai, cidade, idade, padrão de compra. A vítima recebe ligação que parece legítima, e cai.

Para o investidor cripto especificamente, o cenário é particularmente delicado. KYC em exchange brasileira inclui CPF, nome completo, foto de documento e selfie. Se essas bases vazam — e o ecossistema brasileiro tem já enfrentado deepfake contra KYC biométrico — o atacante pode recriar identidade completa e tentar acessar conta da vítima em outras plataformas, ou abrir contas falsas em nome dela.

Não é teoria. O combo já foi documentado por VECERT em casos anteriores como o dossiê PexRat sobre 1,5 milhão de usuários da Binance e o caso Kraken com 5,3 milhões de registros em grupos privados. A diferença em 2026 é a escala doméstica e a velocidade.

A perspectiva ON3X

Três leituras pra fechar.

Um: o problema do Brasil em 2026 não é falta de regulação. É falta de execução. O arcabouço regulatório que entra em vigor em 4 de maio é avançado em comparação internacional. O que falta é capacidade técnica e orçamentária do Estado para se aplicar a si próprio os mesmos padrões que vai exigir do setor privado. Recomendação 05/2026 é sintoma, não solução.

Dois: incidentes em escala estatal afetam o ecossistema cripto mais do que parece. Toda exchange brasileira opera sob LGPD e tem dados sensíveis dos clientes. Quando o ambiente de ameaça nacional sobe — atores como Buddha, NormalLeVrai e CDF ativos simultaneamente, mercado de identidade vazada inundando fóruns —, exchanges, fintechs e SPSAVs ficam obrigadas a investir defesa muito acima do que a regulação exige nominalmente. Quem não fizer, vira a próxima manchete. O custo regulatório de operar legalmente cripto no Brasil em 2026 inclui essa margem implícita de defesa que ninguém colocou no plano de negócios original.

Três: o cidadão precisa partir do princípio de que seus dados já vazaram. Não é alarmismo — é higiene mental. Em algum lugar, em algum dump da dark web, sua combinação de nome + CPF + email já está disponível por menos de US$ 500. Operar a vida digital com essa premissa muda comportamento: senhas únicas por serviço, MFA por hardware key em contas críticas, monitoramento de crédito ativado, atenção redobrada a contatos por canais que parecem legítimos demais. O privilege threat de "isso não vai acontecer comigo" custou caro a milhões de brasileiros no Abril Negro de 2026 — e vai custar mais caro a quem ignorar a lição.

O que vale acompanhar nas próximas semanas: se a Polícia Federal abre operação específica sobre os incidentes de abril, se a ANPD se manifesta com sanção administrativa, e se o governo federal admite, mesmo que parcialmente, algum dos vazamentos contestados. Em qualquer dos três cenários, a Recomendação 05/2026 deixa de ser papel e vira política operacional — com efeitos sobre todo o setor digital brasileiro, regulado ou não.