INSS alerta que informações de beneficiários foram vazadas

O Instituto Nacional do Seguro Social (INSS) confirmou nesta quinta-feira, dia 21 de maio, que dados de segurados do INSS foram vazados após uma falha na segurança do sistema digital do instituto.

O incidente foi identificado pela Dataprev, empresa estatal de tecnologia que gerencia dados de milhões de pessoas, inclusive de aposentados e pensionistas.

Leia também: Conheça o novo projeto de lei para a segurança digital de idosos

Em nota ao portal G1, o INSS disse que foram adotadas as devidas providências e informou que a maioria dos dados que foram expostos eram de cidadãos falecidos:

"De acordo com as informações preliminares, do total de CPFs acessados, 97% foram de cidadãos falecidos. A Dataprev apurou a ocorrência de aproximadamente 50 mil casos envolvendo indivíduos que não possuem registro de óbito – menos de 3% dos casos registrados. Os dados ainda estão sendo consolidados pela Dataprev".

Além disso, afirma que não houve vazamento de senhas bancárias ou informações financeiras sensíveis, mas dados cadastrais de beneficiários ficaram expostos.

Falha de segurança

Após a identificação do problema a mais de um mês, os sistemas afetados passaram por bloqueios preventivos e auditorias internas para conter novos acessos indevidos. O instituto informou ainda que a Polícia Federal e a Autoridade Nacional de Proteção de Dados (ANPD) foram acionadas para investigar o caso e apurar responsabilidades. 

Como a falha funcionava na prática?

A falha identificada no sistema Meu INSS não veio de um ataque externo sofisticado. Ela estava escondida no funcionamento da própria plataforma. Qualquer pessoa com acesso ao sistema podia, ao realizar uma consulta rotineira, acessar dados que não lhe pertenciam. Veja a seguir como acontecia:

• O CPF era um gatilho simples: ao inserir o número de CPF de alguém em um pedido de benefício, o sistema devolvia automaticamente informações além do necessário; nome completo, data de nascimento e, em alguns casos, histórico de vínculos de trabalho. Não havia barreira adicional, confirmação de identidade nem restrição de acesso.
• Os dados expostos têm valor para golpistas: o INSS frisou que senhas bancárias não foram comprometidas, mas os dados cadastrais vazados são exatamente o material usado em fraudes de engenharia social.
• Identificação da brecha: a Dataprev identificou o problema e o comunicou à ANPD. O monitoramento interno funcionou. O tempo que o sistema esteve vulnerável antes da detecção é a principal preocupação. A identificação dessa brecha pode determinar a real dimensão do dano.

Não é a primeira vez!

Em 2024, outra falha levou ao desligamento do Suibe (Sistema Único de Informações de Benefícios) após a exposição de informações de milhões de beneficiários. O Suibe, banco de dados do INSS, reúne dados sensíveis sobre benefícios já concedidos. 

Na ocasião, foi identificado que senhas antigas de acesso continuavam ativas sem revisão ao longo dos anos, permitindo que usuários externos ainda tivessem acesso a dados mesmo após deixarem seus cargos. Os dois incidentes em menos de dois anos no mesmo órgão apontam para um problema recorrente. 

O episódio reacende preocupações sobre a segurança de dados de aposentados, pensionistas e beneficiários de programas sociais armazenados em sistemas públicos. A Lei Geral de Proteção de Dados (LGPD) obriga qualquer organização (pública ou privada) a proteger os dados que coleta e a notificar incidentes em tempo hábil. 

O envolvimento da ANPD nas investigações indica que o caso será analisado sob essa ótica. Se comprovada negligência, o órgão pode responder administrativamente.

Para evitar golpes, a recomendação é desconfiar de contatos que solicitem dados pessoais, não clicar em links desconhecidos e buscar informações apenas nos canais oficiais do INSS. Beneficiários também devem acompanhar movimentações suspeitas em seus cadastros e manter senhas atualizadas.