INSS confirma vazamento de dados de até 40 milhões de segurados

INSS confirma vazamento de dados de até 40 milhões de segurados


Segundo o órgão, a questão não causou prejuízo aos cofres públicos.

Foto: Rafa Neddermeyer/Agência Brasil

Segundo o órgão, a questão não causou prejuízo aos cofres públicos. (Foto: Rafa Neddermeyer/Agência Brasil)

Cerca de 40 milhões de aposentados e pensionistas tiveram seus dados cadastrais expostos por meio de acesso não controlado, confirmou o Instituto Nacional do Seguro Social (INSS) em nota. O problema ocorreu durante décadas através dos logins de servidores de órgãos externos ao INSS que se aposentaram, foram demitidos ou pediram demissão.

Segundo o órgão, a questão não causou prejuízo aos cofres públicos porque o Sistema Único de Informações sobre Benefícios (Suibe) não é utilizado para liberação de benefícios. O sistema armazena apenas dados do beneficiário como nome, Cadastro de Pessoa Física (CPF), tipo de benefício (aposentadoria, pensão, auxílio-maternidade, auxílio e Benefício de Prestação Continuada), data de concessão e valor recebido.

Segundo o INSS, em gestões anteriores, foram distribuídas senhas para outros órgãos federais entrarem no sistema. A distribuição foi feita para órgãos de controle, como a Controladoria-Geral da União, e a Procuradoria-Geral da União, para defesa do governo em ações judiciais. No entanto, não houve monitoramento de senhas. O acesso foi apenas via login e senha, sem camadas de segurança como autenticação de duplo fator, certificados digitais e criptografia.

Após servidores de órgãos externos deixarem suas funções, logins e senhas permaneceram válidos e poderiam cair nas mãos de hackers, fraudadores ou criminosos. Um dos possíveis usos de senhas externas é a venda de dados para instituições financeiras que oferecem crédito consignado aos beneficiários. Outra possibilidade é que os criminosos, de posse dos dados, tenham solicitado crédito especial em nome do segurado do INSS.

No comunicado, o INSS informou que a Dataprev, órgão que desenvolveu a solução tecnológica Suibe, detectou aumento no fluxo de solicitações de informações ao sistema. As senhas externas foram suspensas imediatamente e o governo criou um protocolo para conceder acesso a outros órgãos federais. O acesso externo agora exigirá certificado digital e criptografia.

“Um servidor de algum dos órgãos que tem acesso ao Suibe se aposenta ou passa em outra competição e fica com a senha. Ele não estava ‘não registrado’. Agora, com certificação digital e criptografia, quem tiver a senha não terá acesso”, destacou o INSS na nota.

O INSS informou que ainda investiga o impacto da exposição dos dados dos beneficiários e verifica se, de fato, houve vazamento de informações. Somente após a conclusão das análises o caso será encaminhado à Polícia Federal.

“O Suíbe foi o primeiro sistema de extração de dados do INSS que teve seu fluxo de acesso alterado pelas novas regras de segurança tecnológica, que estão sendo renovadas em 2024. Os sistemas que geram a concessão de benefícios já contam com a nova camada de segurança”, destaca o comunicado.