Meu CPF Vazou? Como Descobrir e o Que Fazer Agora (2026)

Equipe Saferinfo 7 min de leitura
Cartão de identidade trincado com CPF oculto e lupa vermelha representando vazamento de dados pessoais

Em 2026, o Brasil já registrou dois episódios que colocaram o CPF de milhões de pessoas sob suspeita de exposição. Em abril, uma base batizada de “MORGUE” foi anunciada à venda em um fórum de cibercrime com 251,7 milhões de registros ligados ao Gov.br — mais dados do que habitantes tem o país, já que inclui pessoas falecidas e registros duplicados. Em maio, a Dataprev confirmou oficialmente que uma falha no aplicativo Meu INSS expôs CPFs e datas de nascimento de 2,8 milhões de segurados.

Diante de notícias assim, a pergunta mais natural é: como eu descubro se o meu CPF está nessa lista? Este guia responde isso com ferramentas oficiais e gratuitas — e explica o que fazer em cada cenário.

O que aconteceu, em resumo

O caso “MORGUE” — alegado, ainda contestado

Em 18 de abril de 2026, a plataforma de inteligência de ameaças Vecert publicou um alerta sobre um criminoso identificado como “Buddha” vendendo 251.720.444 registros de CPF por apenas US$ 500, supostamente coletados do Gov.br em março. Os registros incluiriam nome completo, data de nascimento, filiação, raça, cidade de nascimento e, em parte dos casos, data de óbito.

É importante registrar: o Ministério da Gestão e da Inovação em Serviços Públicos, responsável pelo Gov.br, negou haver qualquer registro de invasão ou vazamento em seus sistemas. Até a publicação deste artigo, a origem exata da base não foi confirmada de forma independente — mas o episódio reforça um ponto que já é verdade independentemente da conclusão da investigação: dado o histórico de vazamentos anteriores (223 milhões de CPFs expostos em 2021), é prudente para qualquer brasileiro tratar seu CPF como um dado que já pode estar circulando.

O caso Dataprev/INSS — confirmado oficialmente

Este caso é diferente: foi reconhecido pela própria Dataprev. Uma falha no aplicativo Meu INSS deixou uma área que deveria exigir login acessível sem autenticação, expondo CPF e data de nascimento de 2,8 milhões de segurados. A falha foi identificada em 22 de abril e tornou-se pública na semana seguinte; a Autoridade Nacional de Proteção de Dados (ANPD) foi notificada.

Um dado que reduz — mas não elimina — a gravidade: cerca de 98% dos registros expostos pertenciam a pessoas já falecidas. Ainda assim, aproximadamente 52 mil segurados vivos tiveram CPF e data de nascimento expostos, dado suficiente para golpes de engenharia social e tentativas de abertura de crédito fraudulento.

Por que isso importa mesmo que você “não tenha certeza”

CPF não é uma senha: não dá para trocá-lo. Uma vez exposto — seja neste vazamento ou em qualquer um dos anteriores —, ele permanece um dado de risco permanente, reutilizável por golpistas em novas tentativas de fraude anos depois do vazamento original. Por isso a pergunta certa não é apenas “esse vazamento específico me atingiu?”, mas “quais sinais eu monitoro continuamente para saber se meu CPF está sendo usado indevidamente?”.

Como descobrir se o seu CPF vazou (ferramentas gratuitas e oficiais)

Desconfie de sites que pedem para você digitar CPF completo e data de nascimento em troca de um “resultado instantâneo” sem vínculo institucional claro — muitos são, eles próprios, ferramentas de coleta de dados ou phishing disfarçado de serviço de verificação. Use apenas os canais abaixo.

1. Registrato (Banco Central)

O Registrato é o sistema gratuito do Banco Central que mostra quais contas, cartões, empréstimos e financiamentos existem em seu nome em instituições financeiras autorizadas. Acesso via cadastro no gov.br. É a forma mais direta de descobrir se alguém abriu um produto financeiro usando seu CPF sem seu conhecimento.

2. Serasa Consumidor

O Serasa oferece consulta gratuita de CPF (situação cadastral, score, negativações) e um serviço pago (Serasa Premium) de monitoramento contínuo da dark web, que envia alerta quando seu CPF, e-mail ou celular aparece em uma nova base vazada.

3. SPC Avisa (SPC Brasil)

Serviço do SPC Brasil que notifica sobre movimentações incomuns associadas ao seu CPF, como tentativas de consulta ou abertura de crédito em seu nome.

4. Meu INSS e Meu Gov.br

Se você é segurado do INSS, vale revisar periodicamente o extrato de benefícios pelo app Meu INSS em busca de empréstimos consignados que você não reconhece — um dos golpes mais comuns contra CPFs expostos de aposentados.

FerramentaCustoO que verificaFrequência
Registrato (Banco Central)GratuitoContas, cartões e empréstimos abertos em seu nomeSob consulta
Serasa ConsumidorGratuitoScore, negativações, situação cadastralSob consulta
Serasa PremiumPagoMonitoramento contínuo de dark webAlertas em tempo real
SPC AvisaGratuito/PagoTentativas de consulta e crédito no seu CPFAlertas
Meu INSSGratuitoEmpréstimos consignados no seu benefícioSob consulta

Sinais de alerta, mesmo sem confirmação oficial

  • Ligações ou SMS de bancos ou financeiras com os quais você nunca teve relação
  • Notificações de login ou tentativa de acesso a serviços que você não reconhece
  • Cobranças ou negativações por dívidas que você não contraiu
  • Recebimento de cartões, boletos ou correspondências de produtos financeiros que você não solicitou
  • Recusa de crédito inesperada (pode indicar CPF já “sujo” por dívida fraudulenta em seu nome)

O que fazer se confirmar que seu CPF foi exposto

  1. Registre um Boletim de Ocorrência — formaliza o fato e é exigido por bancos e financeiras para contestar fraudes
  2. Conteste qualquer negativação indevida diretamente com a instituição credora e, se necessário, via consumidor.gov.br
  3. Ative autenticação em dois fatores (MFA) em todas as contas sensíveis — banco, gov.br, e-mail principal
  4. Monitore o Registrato periodicamente, não apenas uma vez — novas tentativas de fraude podem surgir meses depois
  5. Avise seus contatos próximos se o vazamento também expôs telefone ou WhatsApp — CPF vazado é frequentemente combinado com golpes de personificação junto a familiares
  6. Troque senhas reutilizadas — se o mesmo e-mail/CPF aparece em bases vazadas anteriores, credenciais antigas podem ter sido reaproveitadas

Para entender como identificar as mensagens que costumam vir logo depois desses vazamentos, veja nosso guia sobre como identificar phishing.

Golpes mais comuns feitos com CPF vazado

Abertura de conta ou crédito fraudulento. Criminosos usam o CPF para abrir contas digitais ou solicitar empréstimos, muitas vezes via “conta laranja”.

Golpe do falso INSS/Meu INSS. Ligações ou mensagens citando dados reais do CPF e do benefício para convencer aposentados a contratar empréstimos consignados fraudulentos ou fornecer senha do gov.br.

Phishing personalizado. Mensagens que citam corretamente seu nome completo e CPF são muito mais convincentes — e é exatamente esse tipo de dado que vazamentos como estes fornecem para o golpista.

Portabilidade numérica indevida (SIM swap). Com CPF e dados pessoais suficientes, golpistas tentam transferir seu número de celular para um chip próprio, interceptando códigos de verificação de bancos e apps.

Perguntas frequentes

Todo brasileiro já teve o CPF vazado alguma vez? Dado o histórico acumulado de vazamentos desde 2021 (223 milhões de registros) até os episódios de 2026, é estatisticamente provável que a maioria dos CPFs brasileiros já tenha aparecido em pelo menos uma base exposta. Isso não significa fraude automática, mas justifica monitoramento contínuo.

Existe forma de “cancelar” ou trocar o CPF vazado? Não. O CPF é um identificador permanente. A defesa possível é monitorar seu uso e agir rapidamente quando houver sinal de fraude, não trocar o número.

Preciso pagar para saber se meu CPF vazou? Não necessariamente. Registrato, Serasa Consumidor e SPC Avisa oferecem verificações gratuitas. Os serviços pagos adicionam monitoramento contínuo e alertas em tempo real, úteis para quem quer prevenção ativa em vez de checagem pontual.

O vazamento do INSS afeta quem não é aposentado? Não diretamente — o incidente da Dataprev expôs dados vinculados a segurados do INSS. Mas o caso “MORGUE”, caso confirmado, teria escopo muito mais amplo, potencialmente incluindo qualquer cidadão com conta Gov.br.

Um site pedindo meu CPF para “verificar vazamento” é seguro? Só se for um canal oficial reconhecido (Banco Central, Serasa, SPC Brasil, gov.br). Sites desconhecidos que prometem checagem instantânea mediante CPF e data de nascimento devem ser tratados com desconfiança — no mínimo, evite pesquisá-los diretamente e prefira digitar o endereço oficial manualmente no navegador.


CPF não se troca como senha, mas a exposição repetida em vazamentos não precisa se traduzir em prejuízo. As ferramentas oficiais listadas aqui são gratuitas e levam poucos minutos — o hábito de checá-las periodicamente é a defesa mais realista disponível para qualquer brasileiro hoje.

Fontes e referências:

Alertas de Segurança

Sem spam. Cancele quando quiser. Ao se inscrever você concorda com nossa política de privacidade.

Compartilhar: Twitter LinkedIn WhatsApp
S

Equipe Saferinfo

Especialistas em cibersegurança dedicados a tornar a segurança digital acessível para todos os brasileiros. Nosso objetivo é educar e proteger.

Leia também