Falha de segurança expõe dados de segurados do INSS
Uma falha de segurança na plataforma digital do Instituto Nacional do Seguro Social (INSS) resultou no vazamento de dados de milhares de segurados. O incidente foi comunicado à Agência Nacional de Proteção de Dados (ANPD), mas ainda não era de conhecimento público. A confirmação foi feita pelo próprio INSS à Folha de S.Paulo.
Número de afetados ainda é incerto
O INSS não informou o número exato de segurados que tiveram suas informações expostas indevidamente. A justificativa é que a Dataprev, empresa estatal responsável pela gestão dos sistemas da Previdência Social, ainda está finalizando um relatório sobre o episódio. Em nota, o órgão afirmou que 97% dos dados expostos se referiam a cidadãos falecidos. Os casos envolvendo segurados sem registro de óbito, ou seja, vivos, ficaram em cerca de 50 mil, menos de 3% do total. Com base nesses números, é possível calcular que o vazamento alcançou até 1,666 milhão de segurados. Técnicos ouvidos sob reserva, no entanto, falam em exposição indevida de dados de aproximadamente 2 milhões de pessoas.
ANPD se recusa a divulgar detalhes
A ANPD afirmou que informações individualizadas sobre eventuais incidentes de segurança não são passíveis de divulgação pública. A justificativa é preservar a segurança institucional e a integridade dos sistemas afetados. Segundo a agência, a divulgação de informações técnicas sensíveis sobre sistemas, vulnerabilidades e medidas de segurança adotadas pode comprometer a segurança de pessoas, organizações e das próprias infraestruturas afetadas.
Dataprev não se manifestou
Procurada desde a noite de quarta-feira (20), a Dataprev não se manifestou até a publicação deste texto. O INSS afirma que o incidente foi identificado em 22 de abril pela Dataprev e que as devidas providências foram adotadas no mesmo dia. Além da comunicação à ANPD, obrigatória em casos como esse, o instituto não detalhou outras eventuais providências tomadas para sanar as causas do vazamento.
Como a falha ocorria
Segundo técnicos ouvidos pela Folha sob condição de anonimato, a falha ocorria quando um terceiro tentava apresentar, em nome do segurado, um requerimento de benefício, como aposentadoria, pensão por morte ou auxílio-reclusão. Ao digitar o CPF do beneficiário, o sistema exibia outras informações do cadastro daquele indivíduo, como nome completo e data de nascimento. Em alguns casos, era possível até mesmo visualizar o histórico de vínculos empregatícios do segurado, com data de início e término de cada um.
Vídeos ensinando o truque circulam nas redes
Vídeos de advogados e atravessadores ensinando o truque ou a estratégia para acessar as informações circulam nas redes sociais desde o ano passado e chegaram ao conhecimento da Dataprev nas últimas semanas. Segundo os técnicos, há a suspeita de que alguns indivíduos, cientes da falha no sistema, passaram a usar robôs para introduzir uma série de CPFs e minerar as demais informações dos cadastros.
INSS minimiza riscos
Segundo o INSS, do total de CPFs acessados, 97% eram de cidadãos já falecidos. Em nota, o órgão disse que a exposição de dados não garante acesso a benefícios. O INSS destacou que a concessão exige uma série de documentos e etapas de comprovação. Os empréstimos consignados, por exemplo, exigem biometria facial. A pensão por óbito exige certidão de óbito, dentre outros documentos e procedimentos. O instituto disse ainda possuir uma série de travas de segurança na concessão de benefícios e afirmou ter reforçado seus controles internos.
Histórico de vazamentos no INSS
Essa não é a primeira vez que ocorre um vazamento de dados de beneficiários do INSS. Em 2024, a Folha revelou que informações sigilosas de milhões de beneficiários do INSS ficaram expostas a usuários externos, que puderam acessar as informações sem o devido controle do órgão. Na ocasião, a descoberta levou ao desligamento do chamado Suibe (Sistema Único de Informações de Benefícios) e paralisou temporariamente a produção de estatísticas da Previdência Social.
Falha anterior no Suibe
A exposição de informações decorreu da ausência de controle das senhas liberadas para usuários externos ao Suibe ao longo das últimas décadas. Esses usuários externos eram, geralmente, representantes de outros órgãos da administração pública, mas o INSS nunca reviu as autorizações de acesso, ou seja, muitos mantiveram as senhas mesmo após saírem de seus respectivos cargos. O INSS nunca confirmou o número exato de senhas acumuladas, mas a estimativa é de que tenham sido centenas.
Riscos para fraudes
O Suibe não permite conceder novos benefícios, mas contém informações de todos aqueles já deferidos, inclusive dados cadastrais dos beneficiários, espécie do benefício (se é uma aposentadoria ou auxílio-doença, por exemplo), valor devido e data de concessão, entre outros. Nas mãos de criminosos, esse repositório se converte em um ativo valioso para direcionar potenciais ações fraudulentas, como contratação irregular de empréstimos consignados. Hoje, esse é um dos focos de investigação de autoridades após as revelações da Operação Sem Desconto, deflagrada em abril de 2025 para apurar descontos fraudulentos de mensalidades associativas, feitos sem autorização dos beneficiários. Ao longo das investigações, também foram detectadas irregularidades na contratação dos empréstimos, que passaram por um aperto nas regras.
