Em quais sites meu CPF está cadastrado? Como mapear sua exposição
Não existe um "painel central" que liste todos os sites onde seu CPF está cadastrado — nem a Receita Federal mantém isso. O que dá para fazer é o caminho reverso: buscar o seu CPF em vazamentos públicos, em data brokers (sites que revendem dados) e em cadastros que indexam o número, juntando tudo num mapa de exposição. É esse mapeamento que separa "acho que meus dados vazaram" de "sei onde, sei o quê e sei o que fazer".
Na prática, seu CPF costuma estar em três lugares: onde você cadastrou de propósito (bancos, lojas, gov.br, planos de saúde); onde ele caiu sem autorização (vazamentos e bases revendidas por brokers); e onde aparece colado a outros dados seus — e-mail, telefone, nome da mãe — em combos que circulam na deep web. Os dois últimos são os que importam para fraude.
Este guia mostra como rodar essa pegada digital reversa de forma ética e dentro da LGPD: consultar fontes legítimas, cruzar o CPF com vazamentos conhecidos e transformar o resultado em ações concretas (alertas, bloqueios, monitoramento).
123.456.789-00
- CPF123.456.•••-00
- Encontrado em4 vazamentos distintos
- Combo críticoCPF + e-mail + telefone juntos
- Data brokerRevendido em 2 sites de consulta
- Nome/situaçãoMaria S••• — bate com cadastro
Resumo rápido
- Não há lista oficial de "todos os sites com seu CPF" — você mapeia de trás pra frente, buscando o número em vazamentos e brokers.
- Sua exposição tem 3 camadas: cadastros legítimos, dados vazados e combos na deep web — só as duas últimas viram risco de fraude.
- Um CPF que aparece junto de e-mail, telefone e nome da mãe no mesmo registro é o pior cenário: dá para fingir ser você.
- A LGPD garante seu direito de saber e exigir exclusão de quem trata seus dados (art. 18) — use isso contra brokers.
- Mapear é só metade: o valor está em monitorar de forma contínua, porque vazamento novo aparece a qualquer momento.
Por que não existe uma lista de "todos os sites com meu CPF"?
Seu CPF é um identificador, não um índice. Cada empresa que você usa guarda o número no banco de dados dela, isoladamente — não existe um cadastro central que aponte "este CPF está em X, Y e Z". A Receita sabe que o CPF existe e a quem pertence, mas não rastreia em quais lojas ou apps você se cadastrou.
Por isso o caminho é reverso. Em vez de pedir uma lista (que ninguém tem), você pega o número e pergunta às fontes que indexam dados: este CPF apareceu em algum vazamento? Está sendo revendido por algum broker? Aparece colado a um e-mail ou telefone em algum combo? O resultado dessas perguntas, somado, é o seu mapa de exposição.
- Cadastros legítimos: bancos, gov.br, e-commerce — você autorizou, ficam fora do mapa de risco.
- Bases revendidas: data brokers que agregam e vendem consultas de CPF.
- Vazamentos: bancos de dados que escaparam e circulam abertamente ou em fóruns.
As três camadas de exposição do seu CPF
Nem toda aparição do seu CPF é problema. Saber em qual das três camadas o número está é o que define a gravidade.
A camada 1 é a que você controla: cadastros que você criou. A camada 2 são os data brokers — sites de "consulta de CPF" que compraram ou rasparam dados e revendem. A camada 3 é a perigosa: combos em que o seu CPF aparece amarrado a e-mail, telefone, endereço e nome da mãe no mesmo registro, prontos para serem usados por fraudadores.
Como mapear em quais bases seu CPF aparece?
O método é cruzar fontes, não confiar numa só. Comece pelo óbvio e vá fechando o cerco.
Cada fonte responde a uma pergunta diferente. Juntas, elas mostram não só onde o CPF está, mas com o que ele está acompanhado — que é o que importa.
- Busca em vazamentos: consulte o CPF (e o e-mail associado) em bases de vazamento para ver se já caiu em algum dump conhecido.
- Data brokers: procure o número em sites de consulta; se aparece lá, está sendo revendido.
- Google dorks: busque
"123.456.789-00"entre aspas — às vezes o CPF está num PDF ou planilha indexada. - Cruzamento reverso: pesquise o seu e-mail e telefone também — eles puxam registros onde o CPF aparece junto.
Cruzando o CPF com bases de vazamento (o ângulo que faltava)
A parte que a maioria dos guias ignora é a busca em bases de vazamento locais — os dumps que circulam fora dos indexadores públicos. É aí que costuma estar a informação mais sensível: o registro completo com CPF, e-mail, telefone e, em alguns vazamentos brasileiros, nome da mãe e data de nascimento.
O Espectro consulta exatamente essa camada. Ao buscar pelo CPF, ele varre vazamentos conhecidos e retorna em quantos o número apareceu, quais dados vieram junto e se há combos críticos — sem você precisar baixar ou navegar em fórum nenhum. O resultado é um card direto: "CPF exposto em N vazamentos, comprometido junto com e-mail e telefone".
Mapeei a exposição. E agora, o que faço?
Mapear sem agir não reduz risco nenhum. Com o mapa na mão, a prioridade é cortar o uso fraudulento e fechar as portas mais abertas.
Se o CPF apareceu em combo crítico, trate como se já estivesse em mãos erradas: o objetivo é vigiar movimentações e dificultar que alguém o use.
- Registrato (Banco Central): veja se há contas, empréstimos ou chaves Pix abertos no seu CPF que você não reconhece.
- Bureaus de crédito: ative alertas e cadastre senha/bloqueio onde for possível para barrar consultas indevidas.
- LGPD contra brokers: use o art. 18 para exigir exclusão dos seus dados de sites de consulta que revendem o CPF.
- Troque o que dá: CPF não muda, mas e-mail e senhas que vazaram junto, sim — troque-os e ative 2FA.
Isso é legal? O que diz a LGPD
Buscar a exposição do próprio CPF é totalmente legítimo — é dado seu, com finalidade de autoproteção. A LGPD inclusive reforça esse direito: o art. 18 garante que você saiba quem trata seus dados e possa pedir correção ou exclusão.
O limite ético é a finalidade. Mapear o próprio CPF (ou o de uma empresa que você vai contratar, para due diligence) é proteção e verificação de fraude. Usar a mesma técnica para vigiar terceiros sem base legal é abuso — e ilegal. A linha que vale: dado público + finalidade legítima.
Perguntas Frequentes
Existe um site que mostra todos os lugares onde meu CPF está cadastrado?
Não existe um cadastro central com essa lista, nem na Receita Federal. O caminho é o reverso: buscar o CPF em vazamentos, data brokers e indexadores para montar um mapa de onde ele aparece. Ferramentas de busca reversa automatizam esse cruzamento.
Como saber se meu CPF foi vazado?
Consulte o número em bases de vazamento e busque também o e-mail e o telefone associados a ele, já que costumam aparecer juntos. Se o CPF surgir em um dump junto a outros dados pessoais, ele foi exposto. Monitorar de forma contínua é o ideal, porque vazamentos novos aparecem a qualquer momento.
É crime consultar meu próprio CPF em vazamentos?
Não. Buscar a exposição do próprio CPF é legítimo e amparado pela LGPD, que garante o direito de saber como seus dados circulam. O que é ilegal é usar dados de terceiros sem finalidade legítima ou base legal.
Como remover meu CPF dos sites de consulta (data brokers)?
Use o artigo 18 da LGPD para solicitar a exclusão dos seus dados diretamente a cada site que os revende. Muitos têm um canal de privacidade ou DPO obrigatório. Pode ser trabalhoso porque são vários brokers, mas é um direito seu e eles têm prazo legal para responder.
Meu CPF apareceu em um vazamento. Posso ter conta aberta no meu nome?
É possível, principalmente se o CPF vazou junto com e-mail, telefone e nome da mãe. Verifique o Registrato do Banco Central para ver contas e empréstimos no seu CPF e ative alertas nos bureaus de crédito. Se encontrar algo que não reconhece, registre contestação imediatamente.
Conclusão
Não dá para listar todos os sites onde seu CPF está cadastrado, mas dá para mapear onde ele está exposto — e essa é a informação que realmente protege. Cruze o CPF com vazamentos, brokers e combos, identifique os registros críticos e aja: monitore o Registrato, ative alertas e use a LGPD contra quem revende seus dados. Rode a busca reversa hoje e descubra o tamanho da sua exposição antes que um fraudador o faça por você.