Nota à imprensa: Receita Federal desmente boato sobre suposto megavazamento de dados
Nos últimos dias, voltou a ganhar espaço em diversos veículos de comunicação a notícia de um alegado vazamento massivo de informações de cidadãos brasileiros, supostamente obtidas a partir de sistemas da Receita Federal do Brasil. De acordo com criminosos que divulgaram a oferta em um fórum ilegal, estariam à venda dados referentes a 248 milhões de pessoas, totalizando cerca de 1,08 bilhão de registros únicos.
A publicação criminosa afirmava que o conjunto incluiria informações detalhadas de pessoas físicas e jurídicas: cadastros, endereços, vínculos familiares, telefones de contato e dados complementares de empresas. Segundo essa narrativa, o material teria sido extraído diretamente de “fontes oficiais” da Receita Federal e estaria atualizado até 2019, organizado em aproximadamente 78,7 GB distribuídos em 24 bancos de dados no formato SQLite, o que facilitaria a consulta e o cruzamento de informações por eventuais compradores.
Para dar aparência de autenticidade, o grupo responsável pelo anúncio disponibilizou amostras com cerca de 100 linhas de cada um dos 24 bancos de dados, apresentadas como “consultas” sobre o suposto acervo completo. A estratégia é comum em ambientes de cibercrime: divulgar uma pequena parte dos dados como prova de que o material existe, buscando elevar o valor comercial da base e convencer possíveis interessados.
Diante da repercussão, a Receita Federal emitiu nota oficial para esclarecer que não há qualquer evidência de invasão, comprometimento ou vazamento de suas bases de dados. O órgão é categórico ao afirmar que a informação veiculada em reportagem de 10.06.2026, que atribuía a origem do conteúdo à Receita Federal, é falsa e se baseia na recirculação de um conjunto de dados antigo, já conhecido pelas autoridades desde 2021.
Segundo a Receita Federal, os dados agora anunciados por criminosos são, em sua maior parte, referentes ao ano de 2019 e se relacionam a um incidente amplamente divulgado à época, sem qualquer vínculo com os sistemas internos do órgão. Ou seja, não se trata de um novo ataque, mas da exploração reiterada de uma base que já circula em meios ilícitos há anos.
O comunicado oficial faz ainda um alerta importante: a simples presença do CPF em um banco de dados não permite identificar, por si só, a origem daquela informação. O CPF é um identificador amplamente utilizado tanto por instituições públicas quanto privadas em todo o país, há décadas. Assim, a associação automática entre qualquer conjunto de dados que contenha CPF e os sistemas da Receita Federal é indevida e tecnicamente infundada.
A Receita Federal destaca que a falsa atribuição ao órgão é uma tática recorrente entre cibercriminosos. Ao vincular uma base de dados antiga ao nome de uma instituição pública de grande relevância, os criminosos procuram conferir uma aura de credibilidade e aumentar o valor de revenda do material. Essa prática, porém, não significa que exista qualquer comprovação técnica de que a origem seja, de fato, a Receita Federal ou outro órgão estatal.
O órgão também chama a atenção para o impacto da divulgação irrefletida dessas informações. Quando notícias sobre “novos megavazamentos” são publicadas sem verificação rigorosa, isso alimenta um ciclo de desinformação, gera pânico desnecessário na população e pode inclusive atrapalhar as investigações das autoridades competentes. A publicação de conteúdos alarmistas, sem checagem adequada, contribui para dar visibilidade gratuita a grupos criminosos e incentiva a continuidade desse tipo de atividade.
Na nota, a Receita Federal reforça que mantém padrões elevados de segurança da informação em seus sistemas, com monitoramento constante, controles de acesso, auditorias e cooperação com outros órgãos de Estado. A instituição afirma que segue acompanhando o caso em articulação com autoridades responsáveis por investigação cibernética, de forma a identificar a real origem dos dados que vêm sendo recirculados e coibir novas tentativas de exploração criminosa.
Por que bases de dados antigas voltam a circular como se fossem novas?
Esse episódio ilustra uma dinâmica comum no submundo do cibercrime: bases de dados antigas são periodicamente “recicladas” e anunciadas como se fossem descobertas recentes, muitas vezes com alegações exageradas sobre sua origem ou abrangência. Mesmo quando as informações já estão desatualizadas, elas ainda podem ter algum valor para fraudes, golpes de engenharia social, phishing direcionado ou para complementar outros bancos de dados ilegais.
Ao rotular o material como “extraído de órgão oficial” ou “vazamento inédito”, criminosos tentam criar escassez artificial e justificar preços mais altos. Em muitos casos, o que se vê é apenas a reembalagem de dados que já foram vendidos inúmeras vezes, com poucos ou nenhum registro realmente novo. Esse tipo de prática engana tanto potenciais compradores quanto a população em geral, que passa a acreditar em sucessivos ataques que, na prática, não ocorreram.
O papel da imprensa e da checagem de informações
Em incidentes dessa natureza, a responsabilidade na apuração é crucial. Antes de publicar que houve um ataque a um órgão público ou a uma grande empresa, é fundamental que jornalistas e editores busquem confirmação oficial, avaliem evidências técnicas apresentadas por especialistas e considerem o histórico de vazamentos anteriores.
Notícias precipitadas, baseadas apenas em declarações de criminosos ou em anúncios em fóruns ilegais, podem reforçar narrativas falsas e desgastar indevidamente a imagem de instituições que não foram comprometidas. Ao mesmo tempo, a imprensa tem papel central na orientação da população sobre como se proteger e em como distinguir entre boatos e informações efetivamente confirmadas.
Orientações para cidadãos preocupados com seus dados
Mesmo quando se trata da reutilização de uma base antiga, o tema levanta uma preocupação legítima: o que fazer se seus dados já estiveram expostos em algum incidente anterior? Algumas recomendações importantes:
– Desconfiar de ligações, mensagens e e-mails que solicitem confirmação de dados pessoais, senhas ou códigos de autenticação.
– Evitar clicar em links recebidos por meios não oficiais, principalmente quando prometem prêmios, vantagens financeiras rápidas ou ameaçam bloqueios imediatos de contas.
– Verificar periodicamente extratos bancários, faturas de cartão e movimentações em serviços digitais, comunicando imediatamente a instituição responsável em caso de atividade suspeita.
– Utilizar senhas fortes, diferentes para cada serviço relevante, e sempre que possível ativar autenticação em dois fatores.
Essas medidas ajudam a mitigar o risco de golpes, independentemente da origem específica de um vazamento ou recirculação de dados.
A importância da transparência dos órgãos públicos
Ao se posicionar rapidamente e de forma clara, a Receita Federal contribui para reduzir ruídos e orientar o debate público. Em um cenário em que incidentes de segurança acontecem com frequência em todo o mundo, a transparência é essencial para manter a confiança dos cidadãos.
Isso não significa negar a existência de riscos, mas reconhecer que a segurança da informação é um processo contínuo, baseado em camadas de proteção, revisões constantes, auditorias e cooperação entre instituições. A comunicação objetiva, como a feita nesta nota, é um componente importante desse processo: ela permite que a população entenda o que realmente ocorreu, quais dados estão em jogo e o que está sendo feito para prevenir novos incidentes.
Segurança da informação como responsabilidade compartilhada
Embora órgãos públicos e empresas sejam responsáveis diretos pela proteção de suas bases, a segurança da informação é um esforço que envolve também usuários, profissionais de tecnologia, imprensa e formuladores de políticas públicas.
– Governos e instituições precisam investir em infraestrutura segura, capacitação contínua e governança de dados.
– Empresas devem adotar boas práticas de proteção, armazenamento e descarte de informações sensíveis.
– Cidadãos devem manter hábitos digitais mais seguros, reduzindo a exposição desnecessária de dados pessoais.
– Profissionais de comunicação têm o desafio de tratar o tema com rigor técnico e compromisso com a checagem.
Combate à desinformação em temas de cibersegurança
Assim como em outras áreas sensíveis, a desinformação em torno de incidentes de segurança digital pode gerar pânico, desgaste institucional e até desviar a atenção de riscos reais. Notícias exageradas, títulos alarmistas e a repetição de boatos sem verificação favorecem o ambiente desejado pelos cibercriminosos: o da confusão e do medo.
A resposta passa por educação digital, fortalecimento de práticas de verificação de fatos e pela ampliação do diálogo entre especialistas em segurança, autoridades e imprensa. Quando cada um desses atores cumpre seu papel, torna-se mais difícil que bases de dados antigas, recirculadas como novidade, provoquem o mesmo impacto a cada reaparição.
Conclusão
O esclarecimento da Receita Federal sobre o suposto vazamento envolvendo 248 milhões de brasileiros reforça dois pontos centrais: não houve comprometimento das bases do órgão e o episódio se apoia na reutilização de dados antigos, já conhecidos desde 2021. Atribuições infundadas a sistemas oficiais, longe de ajudar, apenas ampliam a visibilidade de criminosos e alimentam ciclos de desinformação.
Cabe a instituições, veículos de comunicação e cidadãos tratar casos de segurança da informação com responsabilidade, buscando sempre separar fatos de boatos, e adotando medidas práticas de proteção de dados no dia a dia. A Receita Federal reitera que seus sistemas permanecem operando com elevados padrões de segurança e que o caso segue sob monitoramento em cooperação com os órgãos competentes.