Meu CPF Vazou? Como Descobrir e o Que Fazer Agora (2026)
Em 2026, o Brasil já registrou dois episódios que colocaram o CPF de milhões de pessoas sob suspeita de exposição. Em abril, uma base batizada de “MORGUE” foi anunciada à venda em um fórum de cibercrime com 251,7 milhões de registros ligados ao Gov.br — mais dados do que habitantes tem o país, já que inclui pessoas falecidas e registros duplicados. Em maio, a Dataprev confirmou oficialmente que uma falha no aplicativo Meu INSS expôs CPFs e datas de nascimento de 2,8 milhões de segurados.
Diante de notícias assim, a pergunta mais natural é: como eu descubro se o meu CPF está nessa lista? Este guia responde isso com ferramentas oficiais e gratuitas — e explica o que fazer em cada cenário.
O que aconteceu, em resumo
O caso “MORGUE” — alegado, ainda contestado
Em 18 de abril de 2026, a plataforma de inteligência de ameaças Vecert publicou um alerta sobre um criminoso identificado como “Buddha” vendendo 251.720.444 registros de CPF por apenas US$ 500, supostamente coletados do Gov.br em março. Os registros incluiriam nome completo, data de nascimento, filiação, raça, cidade de nascimento e, em parte dos casos, data de óbito.
É importante registrar: o Ministério da Gestão e da Inovação em Serviços Públicos, responsável pelo Gov.br, negou haver qualquer registro de invasão ou vazamento em seus sistemas. Até a publicação deste artigo, a origem exata da base não foi confirmada de forma independente — mas o episódio reforça um ponto que já é verdade independentemente da conclusão da investigação: dado o histórico de vazamentos anteriores (223 milhões de CPFs expostos em 2021), é prudente para qualquer brasileiro tratar seu CPF como um dado que já pode estar circulando.
O caso Dataprev/INSS — confirmado oficialmente
Este caso é diferente: foi reconhecido pela própria Dataprev. Uma falha no aplicativo Meu INSS deixou uma área que deveria exigir login acessível sem autenticação, expondo CPF e data de nascimento de 2,8 milhões de segurados. A falha foi identificada em 22 de abril e tornou-se pública na semana seguinte; a Autoridade Nacional de Proteção de Dados (ANPD) foi notificada.
Um dado que reduz — mas não elimina — a gravidade: cerca de 98% dos registros expostos pertenciam a pessoas já falecidas. Ainda assim, aproximadamente 52 mil segurados vivos tiveram CPF e data de nascimento expostos, dado suficiente para golpes de engenharia social e tentativas de abertura de crédito fraudulento.
Por que isso importa mesmo que você “não tenha certeza”
CPF não é uma senha: não dá para trocá-lo. Uma vez exposto — seja neste vazamento ou em qualquer um dos anteriores —, ele permanece um dado de risco permanente, reutilizável por golpistas em novas tentativas de fraude anos depois do vazamento original. Por isso a pergunta certa não é apenas “esse vazamento específico me atingiu?”, mas “quais sinais eu monitoro continuamente para saber se meu CPF está sendo usado indevidamente?”.
Como descobrir se o seu CPF vazou (ferramentas gratuitas e oficiais)
Desconfie de sites que pedem para você digitar CPF completo e data de nascimento em troca de um “resultado instantâneo” sem vínculo institucional claro — muitos são, eles próprios, ferramentas de coleta de dados ou phishing disfarçado de serviço de verificação. Use apenas os canais abaixo.
1. Registrato (Banco Central)
O Registrato é o sistema gratuito do Banco Central que mostra quais contas, cartões, empréstimos e financiamentos existem em seu nome em instituições financeiras autorizadas. Acesso via cadastro no gov.br. É a forma mais direta de descobrir se alguém abriu um produto financeiro usando seu CPF sem seu conhecimento.
2. Serasa Consumidor
O Serasa oferece consulta gratuita de CPF (situação cadastral, score, negativações) e um serviço pago (Serasa Premium) de monitoramento contínuo da dark web, que envia alerta quando seu CPF, e-mail ou celular aparece em uma nova base vazada.
3. SPC Avisa (SPC Brasil)
Serviço do SPC Brasil que notifica sobre movimentações incomuns associadas ao seu CPF, como tentativas de consulta ou abertura de crédito em seu nome.
4. Meu INSS e Meu Gov.br
Se você é segurado do INSS, vale revisar periodicamente o extrato de benefícios pelo app Meu INSS em busca de empréstimos consignados que você não reconhece — um dos golpes mais comuns contra CPFs expostos de aposentados.
| Ferramenta | Custo | O que verifica | Frequência |
|---|---|---|---|
| Registrato (Banco Central) | Gratuito | Contas, cartões e empréstimos abertos em seu nome | Sob consulta |
| Serasa Consumidor | Gratuito | Score, negativações, situação cadastral | Sob consulta |
| Serasa Premium | Pago | Monitoramento contínuo de dark web | Alertas em tempo real |
| SPC Avisa | Gratuito/Pago | Tentativas de consulta e crédito no seu CPF | Alertas |
| Meu INSS | Gratuito | Empréstimos consignados no seu benefício | Sob consulta |
Sinais de alerta, mesmo sem confirmação oficial
- Ligações ou SMS de bancos ou financeiras com os quais você nunca teve relação
- Notificações de login ou tentativa de acesso a serviços que você não reconhece
- Cobranças ou negativações por dívidas que você não contraiu
- Recebimento de cartões, boletos ou correspondências de produtos financeiros que você não solicitou
- Recusa de crédito inesperada (pode indicar CPF já “sujo” por dívida fraudulenta em seu nome)
O que fazer se confirmar que seu CPF foi exposto
- Registre um Boletim de Ocorrência — formaliza o fato e é exigido por bancos e financeiras para contestar fraudes
- Conteste qualquer negativação indevida diretamente com a instituição credora e, se necessário, via consumidor.gov.br
- Ative autenticação em dois fatores (MFA) em todas as contas sensíveis — banco, gov.br, e-mail principal
- Monitore o Registrato periodicamente, não apenas uma vez — novas tentativas de fraude podem surgir meses depois
- Avise seus contatos próximos se o vazamento também expôs telefone ou WhatsApp — CPF vazado é frequentemente combinado com golpes de personificação junto a familiares
- Troque senhas reutilizadas — se o mesmo e-mail/CPF aparece em bases vazadas anteriores, credenciais antigas podem ter sido reaproveitadas
Para entender como identificar as mensagens que costumam vir logo depois desses vazamentos, veja nosso guia sobre como identificar phishing.
Golpes mais comuns feitos com CPF vazado
Abertura de conta ou crédito fraudulento. Criminosos usam o CPF para abrir contas digitais ou solicitar empréstimos, muitas vezes via “conta laranja”.
Golpe do falso INSS/Meu INSS. Ligações ou mensagens citando dados reais do CPF e do benefício para convencer aposentados a contratar empréstimos consignados fraudulentos ou fornecer senha do gov.br.
Phishing personalizado. Mensagens que citam corretamente seu nome completo e CPF são muito mais convincentes — e é exatamente esse tipo de dado que vazamentos como estes fornecem para o golpista.
Portabilidade numérica indevida (SIM swap). Com CPF e dados pessoais suficientes, golpistas tentam transferir seu número de celular para um chip próprio, interceptando códigos de verificação de bancos e apps.
Perguntas frequentes
Todo brasileiro já teve o CPF vazado alguma vez? Dado o histórico acumulado de vazamentos desde 2021 (223 milhões de registros) até os episódios de 2026, é estatisticamente provável que a maioria dos CPFs brasileiros já tenha aparecido em pelo menos uma base exposta. Isso não significa fraude automática, mas justifica monitoramento contínuo.
Existe forma de “cancelar” ou trocar o CPF vazado? Não. O CPF é um identificador permanente. A defesa possível é monitorar seu uso e agir rapidamente quando houver sinal de fraude, não trocar o número.
Preciso pagar para saber se meu CPF vazou? Não necessariamente. Registrato, Serasa Consumidor e SPC Avisa oferecem verificações gratuitas. Os serviços pagos adicionam monitoramento contínuo e alertas em tempo real, úteis para quem quer prevenção ativa em vez de checagem pontual.
O vazamento do INSS afeta quem não é aposentado? Não diretamente — o incidente da Dataprev expôs dados vinculados a segurados do INSS. Mas o caso “MORGUE”, caso confirmado, teria escopo muito mais amplo, potencialmente incluindo qualquer cidadão com conta Gov.br.
Um site pedindo meu CPF para “verificar vazamento” é seguro? Só se for um canal oficial reconhecido (Banco Central, Serasa, SPC Brasil, gov.br). Sites desconhecidos que prometem checagem instantânea mediante CPF e data de nascimento devem ser tratados com desconfiança — no mínimo, evite pesquisá-los diretamente e prefira digitar o endereço oficial manualmente no navegador.
CPF não se troca como senha, mas a exposição repetida em vazamentos não precisa se traduzir em prejuízo. As ferramentas oficiais listadas aqui são gratuitas e levam poucos minutos — o hábito de checá-las periodicamente é a defesa mais realista disponível para qualquer brasileiro hoje.
Fontes e referências:
- Hardware.com.br — Alerta máximo: o maior vazamento de CPFs do Brasil em 2026
- O Tempo — Plataforma denuncia suposto vazamento de 251 milhões de CPFs brasileiros
- O Tempo — Governo nega suposto vazamento de 251 milhões de CPFs denunciado por plataforma
- Expressão Rondônia — Vazamento de dados do INSS atingiu 2,8 milhões de CPFs, diz Dataprev; 98% eram de falecidos
- Tribuna do Sertão — Dataprev informa que vazamento no INSS expôs 2,8 milhões de CPFs, maioria de pessoas já falecidas
- SPC Brasil — Como saber se meu CPF foi vazado? Veja sinais e o que fazer
- Serasa — Vazamento de dados: como saber se você foi atingido
Alertas de Segurança
Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.
Equipe Saferinfo
Especialistas em cibersegurança dedicados a tornar a segurança digital acessível para todos os brasileiros. Nosso objetivo é educar e proteger.
Leia também
Engenharia Social: Táticas dos Hackers e Como se Proteger
Entenda as principais técnicas de engenharia social usadas por criminosos digitais no Brasil — do pretexting ao vishing — e aprenda como identificar e resistir a essas manipulações.
FortiBleed: Vazamento Expõe Credenciais de 73.932 Firewalls Fortinet em 194 Países
FortiBleed: 73.932 firewalls FortiGate expostos em 194 países. Credenciais vazadas, impacto para empresas brasileiras e checklist de resposta ao incidente.
Invasão ao Sistema de Alertas da Defesa Civil: 30 Milhões de Brasileiros Receberam Falso Alerta Extremo
Credenciais roubadas dispararam alerta falso 'Extremo' da Defesa Civil para 30 milhões de brasileiros. Invasão ao IDAP: o que aconteceu, os impactos e como evitar.