Mercado de dados: o que acontece com seu CPF depois que ele vaza?

O vazamento de dados pessoais é só o início de uma longa saga. Após o incidente, CPF, endereço, score de crédito, logins e demais informações entram em uma "economia paralela", onde a sua identidade vira mercadoria negociada em fóruns na dark web e é usada para invadir contas, aplicar golpes e mais.

• O que é phishing e como se proteger?
• Phishing com IA: como se proteger dos golpes digitais mais sofisticados

A seguir, entenda o que acontece com o seu CPF e demais informações após a exposição:

• Após o vazamento: como os dados vazados viram “produto”
• Do vazamento ao anúncio
• Como os dados são usados após o vazamento
• Quem responde pelo dano?
• E as cobranças?

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Após o vazamento: como os dados vazados viram “produto”

A exposição de informações ocorre de diversas formas, nem sempre impulsionado por um grande ataque cibernético. Em algumas situações, os incidentes ocorrem após a publicação acidental de dados sensíveis devido a uma falha na operação ou na plataforma, por exemplo.

Essa, no entanto, é só a ponta do iceberg. O especialista em Inteligência de Ameaças da ISH Tecnologia, Ismael Rocha, observa que, quando um CPF vaza, ele não “desvaza”. Na verdade, a informação é agregada a outras bases e “circula entre diferentes grupos criminosos por anos”.

O vice-presidente da CrowdStrike para a América Latina, Jeferson Propheta, destaca ainda que as informações burladas viram “matéria-prima para o crime organizado digital”, em um processo no qual agentes maliciosos “compilam e enriquecem informações” para vendê-las.

“Essas informações vão para marketplaces na dark web que funcionam como ‘e-commerces do crime’, com avaliações de vendedores e pagamentos em criptomoedas”, disse Propheta ao Canaltech. “Nosso Relatório de Caça a Ameaças 2025 mostra a profissionalização disso através do Ransomware-as-a-Service (RaaS): grupos vendem dados, ferramentas e infraestrutura completa para qualquer um lançar ataques.”

A precificação segue a lógica de mercado, considerando oferta, demanda e qualidade do “produto”.

“Não existe uma ‘tabela oficial’, mas temos uma boa ordem de grandeza pela observação de pesquisas em mercados clandestinos. Estudos recentes mostram, por exemplo, que um cartão de crédito brasileiro roubado é vendido hoje por cerca de US$ 10,70 (algo em torno de R$ 55 a 60) na dark web”, pontua Rocha.

Além dos pacotes avulsos, também há modelos por assinatura.

Do vazamento ao anúncio

O caminho entre o incidente e a vitrine clandestina costuma seguir um roteiro relativamente padrão. Segundo o especialista da ISH Tecnologia, é possível resumir o ciclo em quatro etapas principais:

• Comprometimento da fonte de dados: ataques e demais técnicas que possibilitam o acesso às informações protegidas;
• Extração e enriquecimento: cópia e normalização da base de dados após o acesso indevido;
• Monetização na dark web: anúncio das bases de dados em fóruns hackers, canais fechados e demais pontos de venda online;
• Exploração dos dados: o comprador pode utilizar a base para aplicar golpes diretamente ou revendê-los em camadas para brokers de dados, operadores de fraudes, criadores de contas falsas e afins.

Como os dados são usados após o vazamento

O vice-presidente da CrowdStrike lista diferentes usos dos dados após a exposição. Entre os meios tradicionais, há fraudes financeiras (cartões, contas e empréstimos), contratação de serviços (linhas telefônicas e TV a cabo) e compras online em nome da vítima.

O executivo também conta que o “perigo real” está na inteligência artificial generativa, e cita que oito em cada dez organizações consideram e-mails de phishing gerados por IA praticamente indistinguíveis de comunicações legítimas.

“45% das violações por ransomware começam com um simples e-mail de phishing”, conclui.

Gerente de Segurança da Informação e Proteção de Dados na Finch, Mário Cavalcante alerta que o maior risco imediato após um vazamento não é apenas o dado exposto em si, mas o uso dele para ataques secundários.

Entre eles, o Credential Stuffing (uso de credenciais vazadas para tentar acesso em outros serviços) e o Spear Phishing (golpes direcionados).

O que a vítima deve fazer depois do vazamento?

Do ponto de vista jurídico e prático, os especialistas ouvidos pelo Canaltech são unânimes: a reação precisa ser rápida.

“O maior risco do vazamento não é o ‘dado em si’, mas os golpes que podem ser praticados com ele depois”, diz a advogada especialista em privacidade e proteção de dados do Viseu Advogados, Antonielle Freitas. Ela orienta alguns passos básicos:

• Mapear quais dados vazaram;
• Trocar senhas imediatamente em todos os serviços associados àquele e-mail ou login vazado, evitando credenciais repetidas e priorizando combinações fortes;
• Ativar a autenticação em múltiplos fatores;
• Redobrar a atenção com golpes (phishing e engenharia social);
• No caso de dados financeiros, bloquear ou substituir cartões, monitorar extratos e contestar qualquer movimentação suspeita;
• Acompanhar o CPF em serviços de proteção ao crédito e ficar atento a eventuais contratos, financiamentos ou compras não reconhecidos.

Sócio do FAS Advogados, Danilo Roque traz outras recomendações:

• Monitorar sinais de fraude ou uso indevido;
• Usar os canais oficiais para exercer os direitos previstos na Lei Geral de Proteção de Dados (LGPD);
• Acionar autoridades, como registrar um boletim de ocorrência, quando houver indícios de dano;
• Adotar mecanismos de proteção financeira, como bloquear a abertura de contas e a participação do CPF em novos CNPJs.

Na frente criminal e probatória, o gerente jurídico do Paschoini Advogados, Elias Menegale, ressalta a importância de construir uma trilha de evidências.

“Após o vazamento de dados, a vítima deve agir rapidamente tanto para reduzir riscos quanto para se resguardar juridicamente. É importante reunir todas as evidências possíveis — como prints, e-mails, mensagens e protocolos de atendimento — porque essa documentação serve como prova caso haja necessidade de questionar cobranças ou buscar responsabilização judicial”, orienta. 

Quem responde pelo vazamento e os danos?

Freitas observa que a LGPD deixa claro que a empresa continua responsável pela proteção dos dados mesmo quando há um ataque externo. “Ela precisa demonstrar que adotou medidas técnicas e administrativas de segurança adequadas e proporcionais ao risco dos dados que trata”, pontua.

A especialista do Viseu Advogados relaciona, ainda, as seguintes consequências devido à exposição: sanções da Autoridade Nacional de Proteção de Dados (ANPD), com multas de até 2% do faturamento da empresa no brasil, ações civis individuais ou coletivas e atuação de órgãos de defesa do consumidor.

Roque também observa que, quando o incidente acarretar risco ou dano relevante aos titulares dos dados, existe obrigação legal de comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos usuários impactados. O aviso deve ser feito em até 3 dias úteis a partir da confirmação da exposição.

Neste caso, a notificação precisa detalhar o acontecimento com linguagem simples, listando os dados afetados, potenciais riscos e medidas adotadas, entre outras orientações. “Se não for possível comunicar individualmente, a ANPD pode exigir divulgação ampla em site, redes sociais ou outros meios”, complementa.

Entre os exemplos, está o caso da XP Investimentos, que enviou cartas aos clientes atingidos por uma exposição identificada em março de 2025. Mais tarde, em junho, os Correios notificaram titulares que tiveram suas informações expostas após uma vulnerabilidade no sistema.

O acesso indevido a dados vinculados a mais de 11 milhões de chaves Pix relacionado ao Conselho Nacional de Justiça (CNJ), por sua vez, foi notificada publicamente pelo Banco Central em julho. 

E as cobranças?

Em alguns casos, os dados vazados são usados para invadir contas ou obter empréstimos e créditos. Dentro deste contexto, Menegale afirma que a responsabilidade das instituições financeiras é objetiva.

“Isso significa que eles respondem independentemente de culpa quando há falha na prestação do serviço ou quando o consumidor é prejudicado por fraude ligada ao risco da atividade bancária”, explica o advogado ao mencionar o 14º artigo do Código de Defesa do Consumidor (CD) e a Súmula 479 do STJ. 

Assim, empréstimos contratados por estelionatários ou compras feitas com cartões obtidos por meio de vazamento de dados não podem ser imputadas ao cliente, e é necessário cancelar as cobranças, estornar valores eventualmente sacados ou transferidos e sustar contratos fraudulentos.

“Instituições financeiras têm obrigação regulatória de manter sistemas eficazes de prevenção, autenticação e monitoramento de transações atípicas, conforme as normas de segurança cibernética do Banco Central e a LGPD (art. 46), que exige proteção adequada aos dados sob sua guarda”, complementa.

Já em relação às linhas telefônicas, Cavalcante lembra que agentes maliciosos utilizam dados vazados para contratar planos pós-pagos com dois objetivos: criar “contas laranjas” para aplicar golpes em terceiros ou utilizar o pacote de dados para cometer ilícitos digitais sem serem rastreados.

Assim como ocorre com os bancos, o gerente da Finch observa que a vítima não pode ser responsabilizada, e a dívida deve ser declarada inexistente.

“A operadora deve cancelar a linha e anular quaisquer débitos”, disse. “Caso a operadora inscreva o nome da vítima em órgãos de proteção ao crédito (Serasa/SPC) por essas dívidas fraudulentas, configura-se dano moral in re ipsa (dano presumido), gerando dever de indenização imediata, conforme jurisprudência consolidada.”

Leia mais:

• Smishing e Vishing: o phishing que chega por SMS e ligação de voz
• Como deixar o Android mais seguro | 9 dicas
• Como deixar o iPhone mais seguro | 9 dicas

VÍDEO: Sabia que seu Android tem novas proteções contra roubo no Brasil? Ative já e fique seguro!