Cemig vaza dados de 135 mil clientes em ataque cibernético

A Cemig confirmou nesta quinta-feira (14) o vazamento de dados pessoais de 135 mil clientes após invasão cibernética em sistema operado por empresa parceira de atendimento. Criminosos acessaram nome completo, CPF, filiação, endereço residencial, e-mail, telefone e valores de faturas e débitos. A companhia bloqueou o acesso não autorizado assim que detectou o incidente e notificou ANPD, Aneel e Polícia Civil de Minas Gerais.

A falha expõe 135 mil mineiros a risco concreto de tentativas de fraude envolvendo informações pessoais e financeiras. A Cemig informou que operações não foram afetadas e que clientes impactados estão sendo contatados pelos canais cadastrados.

A empresa reforçou orientações de segurança. «Nunca pedimos senhas, códigos por SMS ou WhatsApp, dados de cartão ou pagamentos fora dos canais oficiais», comunicou a Cemig. Investigação técnica está em curso para mapear a extensão total do incidente.

O que se sabe sobre o ataque: falha em sistema de parceira

Ambiente operado por terceiro concentrava base de atendimento

O acesso não autorizado aconteceu em banco de dados mantido por empresa parceira da Cemig. O sistema comprometido armazenava dados cadastrais e histórico de faturas para operações de suporte e cobrança. A Cemig não identificou publicamente qual parceira opera o ambiente invadido.

A vulnerabilidade ficou restrita a essa parcela da base de dados da empresa terceirizada. Assim que o incidente foi detectado, a companhia bloqueou o acesso invasor e corrigiu a falha de segurança. Especialistas em segurança da informação seguem investigando os detalhes técnicos do ataque.

«Adotamos medidas rotineiras de proteção, como criptografia e monitoramento contínuo», informou a Cemig. Mesmo assim, 135 mil registros foram expostos em ambiente fora do perímetro direto da concessionária.

Detalhes técnicos não foram divulgados publicamente

A companhia não revelou o tipo de ataque — se foi ransomware, phishing, exploração de vulnerabilidade ou credencial vazada. Também não informou quando exatamente a invasão ocorreu. Um e-mail recebido por cliente da Cemig indica que o vazamento pode ter acontecido em maio.

Até o momento, não há registro de senhas ou dados bancários comprometidos. A exposição ficou limitada a informações cadastrais e financeiras relacionadas ao relacionamento com a concessionária.

O incidente expõe risco estrutural da terceirização de TI em utilities. Dados sensíveis de 135 mil pessoas ficavam armazenados fora do controle direto da Cemig, ampliando a superfície de ataque. Quando a vulnerabilidade está em sistema de parceiro, a concessionária perde controle. Depende de processos de segurança que não opera diretamente.

A investigação técnica detalhada segue em curso com apoio de especialistas. A Cemig notificou ANPD e Aneel.

Quais dados vazaram e o que NÃO foi exposto

Lista completa de campos expostos

Os invasores acessaram sete tipos de informação pessoal: nome completo, filiação (nome dos pais), CPF, endereço residencial, e-mail, número de telefone e valores de faturas com informações sobre débitos em atraso. A lista inclui dados suficientes para montar perfis completos dos 135 mil mineiros afetados.

O CPF combinado com nome e endereço permite engenharia social. Criminosos podem usar esses dados para aplicar golpes de cobrança falsa e fraudes. O histórico de dívidas torna o golpe mais crível — a vítima recebe cobrança com valor real da fatura atrasada.

Senhas e dados bancários não foram comprometidos

A Cemig confirmou que o vazamento não incluiu senhas, dados de cartão de crédito ou débito, informações bancárias nem códigos de acesso. Até o momento, não há registro de exposição de dados financeiros mais sensíveis.

A ausência de dados bancários impede transferências fraudulentas diretas.

A companhia reforça que nunca solicita senhas, códigos recebidos por SMS ou WhatsApp, dados de cartão ou pagamentos por canais não oficiais. Desconfie de mensagens com tom de urgência, links encurtados ou ofertas de desconto agressivas para regularização de débitos fora do app ou site oficial.

Risco de golpes e fraudes: como invasores podem usar os dados

Com CPF, nome completo, endereço e filiação em mãos, criminosos podem tentar golpes de identidade.

Engenharia social e fraudes de identidade

Ligações falsas se passando pela Cemig são uma tática possível. O golpista pede confirmação de dados, pagamento de débitos ou atualização de cadastro — sempre com tom de urgência. Como ele já tem CPF e endereço reais, a abordagem soa legítima.

Clientes podem receber cobranças de serviços que nunca contrataram. Ou descobrir negativação no CPF semanas depois. O cliente descobre o dano quando a fraude já está consumada.

Sinais de alerta para clientes

A Cemig alertou que nunca pede senhas, códigos de SMS, dados de cartão ou pagamento por canais não oficiais. Mensagens com links curtos, ofertas de regularização fora do site oficial ou tom de urgência são bandeiras vermelhas.

A recomendação da empresa: não clicar, não responder e confirmar autenticidade pelos canais oficiais antes de qualquer ação.

Implicações legais e regulatórias: LGPD, multas da ANPD e precedentes

Obrigações da Cemig sob LGPD e notificação à ANPD

A Lei Geral de Proteção de Dados exige que controladores de dados notifiquem a ANPD em prazo razoável após detectar vazamento. A Cemig cumpriu essa etapa em 14 de maio de 2025. A companhia também é obrigada a realizar «comunicação individualizada» com cada cliente afetado, detalhando o incidente e medidas de proteção.

A LGPD não especifica prazo em dias. Atraso na notificação pode agravar a punição.

Multas potenciais e precedentes em utilities

A ANPD tem poder para aplicar sanções administrativas. O cálculo considera gravidade da falha, volume de dados expostos, dano potencial aos titulares e tempo de resposta da empresa.

A ausência de casos anteriores aumenta a pressão regulatória. A ANPD pode usar o caso Cemig como exemplo para definir padrão de fiscalização no setor de infraestrutura crítica.

Direitos dos clientes afetados

Clientes têm direito a acessar quais dados vazaram, corrigir informações incorretas e exigir exclusão de dados desnecessários. Se comprovarem prejuízo — golpe bem-sucedido, por exemplo —, podem pedir indenização por danos morais contra a Cemig.

O caminho judicial começa com boletim de ocorrência na Polícia Civil. Ações individuais por negligência em segurança são viáveis. Associações de consumidores podem mover ações coletivas, ampliando alcance e reduzindo custo individual para os 135 mil afetados.

Próximos passos para clientes afetados: proteção e direitos

Como confirmar se você foi afetado

A Cemig está contatando os 135 mil clientes afetados por telefone, e-mail ou SMS usando os canais cadastrados na base. Quem não receber essa comunicação oficial, em princípio, não está na lista identificada até o momento.

Clientes que quiserem confirmar por conta própria podem:

• Contatar a companhia diretamente pelos canais oficiais
• Solicitar cópia do relatório técnico de investigação — documento que detalha quais dados específicos foram expostos

Desconfie de mensagens com tom de urgência ou links curtos. «A Cemig nunca pede senhas, códigos de SMS, dados de cartão ou pagamentos fora dos canais oficiais», informou a companhia.

Monitoramento de crédito e proteção imediata

Consulte seu CPF no Serasa e na Boa Vista. Os bureaus de crédito permitem verificar se houve tentativa de abertura de conta bancária, cartão ou empréstimo em seu nome.

Congele seu crédito junto aos bureaus. A medida impede que terceiros abram contas fraudulentas usando seus dados — você só libera quando precisar solicitar crédito legítimo.

Monitore extratos bancários e faturas de cartão semanalmente. Transações desconhecidas podem indicar uso indevido dos dados vazados.

Registrar boletim de ocorrência e exercer direitos legais

Registre boletim de ocorrência na Polícia Civil de Minas Gerais — online ou presencialmente. O documento é essencial para comprovar o vazamento em ações judiciais futuras.

Clientes podem buscar indenização por danos morais contra a Cemig. Contratar advogado ou procurar a Defensoria Pública são opções para ação individual ou coletiva.

Acompanhe comunicados da ANPD sobre multas e medidas corretivas impostas à companhia. A autoridade pode determinar compensações adicionais aos clientes afetados.

Resposta da Cemig: medidas tomadas e investigação em curso

A Cemig bloqueou o acesso não autorizado logo após a detecção do incidente, em 14 de maio, e corrigiu a vulnerabilidade no mesmo dia. Operações de energia continuam normais — a companhia reafirmou que o vazamento não causou prejuízos aos serviços.

A investigação técnica está em curso com apoio de especialistas em segurança da informação. O objetivo: mapear a extensão real do incidente, identificar todos os clientes afetados e confirmar se houve exfiltração de dados para fora da rede da Cemig.

Cemig notificou as três autoridades obrigatórias: ANPD (Autoridade Nacional de Proteção de Dados), Aneel (Agência Nacional de Energia Elétrica) e Polícia Civil de Minas Gerais. As comunicações foram feitas com sigilo para preservar a integridade das apurações.

Clientes identificados como afetados recebem contato individual com orientações de segurança e prevenção contra golpes. A Cemig reforça: nunca solicita senhas, códigos de SMS, dados de cartão ou pagamentos por canais não oficiais. Quem não receber comunicação, conforme a empresa, não está na lista de afetados até o momento.

A companhia também alerta para desconfiar de mensagens com tom de urgência, links curtos ou ofertas de regularização de débitos fora dos canais oficiais. Em caso de contato suspeito, o recomendado é não clicar, não responder e confirmar a autenticidade pelos canais oficiais de atendimento.