Especialistas em cibersegurança alertaram o governo e Secretaria de Saúde do Estado se pronunciou sobre o caso
Um arquivo contendo mais de nove milhões de dados de cidadãos do Estado de Pernambuco – incluindo documentos pessoais, celulares, e-mails e até endereços residenciais – foi publicado por um usuário anônimo na Dark Web em 31 de dezembro. Autoridades do governo estadual confirmaram o caso e responsabilizaram a esfera federal.
O material contém informações relacionadas a ambientes da área da saúde – como o SUS, o Sistema Único de Saúde do Brasil. Apesar de conter dados desatualizados, o autor detalha que, de acordo com informações demográficas do Instituto Brasileiro de Geografia e Estatística (IBGE), a base de dados pode cobrir 93,2% da atual população do estado.
Utilizando-se do user “0x0dayToDay”, o perfil disponibilizou o material de 2,8 GB gratuitamente em um fórum criminoso, o que torna a situação curiosa e mais preocupante, já que os dados de milhões de cidadãos, entre pessoas vivas e já falecidas, podem ser obtidos sem custos por qualquer internauta comum.
Considerado um dos maiores vazamentos de dados de 2025, a base de dados conta com 9,2 milhões de registros. Por causa da quantidade e do tipo de informações, o material pode ser usado tanto em golpes simples como em tentativas de extorsão e fraudes financeiras mais graves.
Quais dados foram vazados?
O arquivo em formato SQLite – um sistema de banco de dados relacional sem servidor – possui 9,19 milhões de linhas, cada uma representando um cidadão de Pernambuco afetado. O documento cataloga as seguintes informações em colunas:
- Dados de identificação: nome, CPF, CNS, nome social e grau de qualidade do cadastro;
- Informações pessoais e familiares: data de nascimento, sexo, filiação, raça/cor, identidade de gênero e estado civil;
- Dados demográficos: nacionalidade, país e município de nascimento e etnia;
- Endereço completo: tipo e nome do logradouro, número, complemento, bairro, município, UF, país e CEP;
- Contato: telefone e endereços de e-mail;
- Documentos oficiais: número de RG, órgão emissor, UF e data de emissão;
- Informações administrativas: situação do cadastro (ativo), condição VIP, microárea, motivo VIP e fora de área;
- Dados educacionais e de saúde: escolaridade e tipo sanguíneo;
- Registros sensíveis: informações sobre óbito, naturalização e entrada no país.
Um verdadeiro prato cheio para golpistas. A Secretaria Estadual de Saúde de Pernambuco (SES-PE) informou que o vazamento é antigo e envolve um “sistema de informação externa à governança estadual”. O órgão disse ainda que acionou o Data Protection Officer (DPO) para investigar o caso e “realizar contato com as outras esferas para informes e identificação da fonte”, como determina a Lei Geral de Proteção de Dados (LGPD).
Como os dados foram vazados?
Para compreender como um volume tão massivo de informações sensíveis pode ter escapado dos domínios do governo, é necessário analisar as fragilidades estruturais dos sistemas públicos.
Segundo Antonio Filho, especialista em ICT SOC da HostDime Brasil, o ponto de partida em incidentes envolvendo órgãos governamentais e prefeituras geralmente reside no uso de sistemas e infraestruturas antigas que não recebem atualizações ou manutenção constantes, tornando-se portas de entrada para vulnerabilidades conhecidas.
Embora muitos imaginem que grandes vazamentos sejam frutos de ataques de altíssima complexidade (como zero-days, que exploram falhas desconhecidas), a realidade costuma ser mais trivial. A falta de ferramentas básicas de segurança, como soluções de prevenção contra perda de dados (DLP), e o descuido com políticas internas são vetores comuns.
Antonio destaca ainda um fenômeno conhecido como Shadow IT, que ocorre quando funcionários instalam softwares não autorizados ou não inventariados pela equipe de TI, abrindo brechas invisíveis para a administração.
No entanto, o especialista é categórico ao afirmar que a tecnologia, por si só, não é a única culpada. A ausência de uma cultura de cibersegurança e a falta de treinamento dos servidores públicos representam o maior risco.
A verdade é que a maioria dos ataques vão ocorrer sempre pelo elo mais frágil, que é o ser humano. Se o funcionário não é capacitado para ter um meio de prevenção, ele será o primeiro a clicar em links maliciosos, por exemplo.
O vazamento também pode ter origem em um "dump de credenciais", onde senhas fracas ou repetidas de funcionários são comprometidas, permitindo que cibercriminosos acessem os sistemas como se fossem usuários legítimos. “A situação poderia ter sido evitada com a aplicação de correções técnicas básicas, atualizações constantes e, principalmente, investimento na conscientização das equipes”, afirma o especialista.
Como evitar vazamentos de dados na minha empresa?
O caso de Pernambuco mostra um padrão que se repete: uma base grande, com dados suficientes para golpes e fraudes, circulando com facilidade em fóruns criminosos. No vazamento, foram expostos registros com informações que aceleram desde phishing “simples” até tentativas de extorsão mais sofisticadas.
E o mais importante: mesmo quando o órgão responsável diz que os dados são antigos e vinculados a bases fora da governança local, o impacto prático continua sendo risco para cidadãos e pressão por resposta e governança.
Para as empresas, um vazamento não é só “um ataque”. Na maioria das vezes, é resultado da soma de processos frágeis, infraestrutura sem controles e ausência de monitoramento. Aqui vão dicas para colocar em prática ainda hoje em sua organização para evitar prejuízos financeiros e de compliance:
1) Comece pelo básico
- Mapeie onde estão os dados: planilhas, ERPs, CRMs, bancos, backups, e-mails, pastas compartilhadas. Se você não enxerga, não protege.
- Aplique o mínimo privilégio: acesso só a quem precisa, com revisão periódica.
- Tenha MFA e trilha de auditoria: documente quem acessou, quando e o que fez.
- Criptografia de dados em trânsito e em repouso: trate a gestão de chaves como assunto sério.
- Faça backup com regra 3-2-1: uma estratégia fundamental para a proteção de dados, que recomenda ter 3 cópias dos seus dados (original + 2 backups), armazená-las em 2 tipos de mídia diferentes (ex: disco local e nuvem) e manter 1 cópia fora do local (offsite) para se proteger contra falhas de hardware, ataques cibernéticos e desastres, garantindo a redundância e a recuperação dos dados.
É importante pontuar que as medidas citadas anteriormente são importantes, mas não resolvem vulnerabilidades críticas, somente mantêm ambientes já bem monitorados em bom funcionamento. A estratégia de defesa deve ser dividida em fortalecimento do fator humano e higienização técnica.
2) Se livre de infraestrutura improvisada
Muitas empresas não consideram contratar soluções de provedores certificados, como data centers, porque associam isso a algo distante e caro. No entanto, o caminho mais direto e economicamente viável à longo prazo para colocar controle e padrão onde hoje existe improviso, é a adoção de soluções de cibersegurança com especialistas no assunto.
Quando você hospeda bancos e sistemas críticos em ambientes sem camadas de segurança, redundância e governança, cada atualização atrasada vira risco operacional e de vulnerabilidade para vazamentos.
3) Hospede seus dados em um data center certificado
Operar em um ambiente desenhado para reduzir risco garante controle físico, políticas, processos bem documentados e alta disponibilidade. Para casos de ambientes críticos, a HostDime, por exemplo, opera no Brasil com data center certificado e uma esteira de soluções para proteger dados e manter operação de pé mesmo sob incidentes.
Na prática, empresas que querem evoluir rápido costumam combinar:
- Servidor Dedicado: isola a operação e reduz superfície de ataque;
- Security Operations Center (SOC): atua no monitoramento e resposta a incidentes 24X7, sem pausas. A solução permite uma vigilância ativa sobre a infraestrutura de TI.
- Cloud Backup: backup automatizado, retenção flexível e restauração rápida para reduzir impacto de erro humano e ransomware;
- Disaster Recovery: plano real de continuidade que assegura que, mesmo após um incidente, a organização consiga manter suas operações com um tempo de inatividade (downtime) mínimo e um tempo médio de recuperação baixíssimo.
- Proteções de rede (ex.: mitigação DDoS e camadas de segurança): ideal para manter serviços online quando o tráfego vira ataque.
Essas combinações já são realidade em órgãos que precisam operar com previsibilidade e responsabilidade institucional. Confira:
- O TRE-PB cita a migração para o ambiente da HostDime como ação para aumentar a segurança e disponibilidade dos serviços. (Justiça Eleitoral)
- A Polícia Militar da Paraíba (PMPB) comunicou oficialmente um avanço na TI com a contratação de empresa de referência em infraestrutura para apoiar eficiência operacional e administrativa (parceria associada à HostDime em comunicações do ecossistema). (Portal da Transparência da Paraíba)
- O Tribunal de Justiça da Paraíba (TJPB) também registra publicamente a contratação da HostDime como segundo data center para ampliar a segurança digital e proteção de dados. (Tribunal de Justiça da Paraíba)
Se órgãos públicos, que são altamente auditados e precisam responder a requisitos de continuidade e integridade, adotam esse tipo de arquitetura, por que manter seus dados críticos no improviso?
