Falha expõe dados de 40 milhões de segurados do INSS
Acesso indevido por servidores de outros órgãos coloca em risco informações de aposentados e pensionistas
Por: Vitória Bronzati
O Instituto Nacional do Seguro Social (INSS) confirmou que dados cadastrais de aposentados e pensionistas foram expostos por meio de acessos sem controle. A falha ocorreu por décadas, permitindo que logins de servidores públicos de órgãos externos ao INSS, que se aposentaram, foram exonerados ou pediram demissão, permanecessem ativos. O INSS afirmou que está levantando o impacto da exposição de dados dos beneficiários e verifica se houve vazamento de informações. A Polícia Federal só receberá o caso após a conclusão das análises.
O INSS esclarece que o problema não gerou danos aos cofres públicos. O Sistema Único de Informações de Benefícios (Suibe), que armazena dados dos beneficiários (nome, CPF, tipo de benefício, data de concessão e valor recebido), não é utilizado para liberar benefícios.
O instituto esclareceu que distribuiu senhas a outros órgãos federais, como a Controladoria-Geral da União e a Advocacia-Geral da União, em gestões anteriores, para que estes tivessem acesso ao sistema. A empresa, mesmo tendo senhas de acesso protegidas por login e senha, não implementava medidas de segurança adicionais, como autenticação de duplo fator, certificado digital e criptografia, deixando as senhas vulneráveis.
A saída dos servidores de órgãos externos permitiu que hackers e criminosos usassem logins e senhas válidos. Um dos usos possíveis dessas senhas era a venda de dados a financeiras que oferecem crédito consignado a beneficiários, ou a obtenção de crédito especial no nome dos segurados.
Em resposta à detecção do problema, a Dataprev, órgão que desenvolveu a solução tecnológica do Suibe, identificou um aumento no fluxo de pedidos de informações ao sistema. A equipe de segurança suspendeu imediatamente as senhas externas e implementou um novo protocolo de acesso, exigindo certificado digital e criptografia.
“Um servidor de alguns dos órgãos que têm acesso ao Suibe se aposenta ou passa em outro concurso e detém a senha. Ele não era ‘descadastrado’. Agora, com a certificação digital e a criptografia, quem tiver a posse da senha ficará sem acesso”, destacou o INSS na nota.
O INSS também desligou o sistema Suibe no início de maio antes de adicionar camadas de segurança, paralisando a produção de estatísticas como o Boletim Estatístico da Previdência Social (Beps). O Beps, com informações detalhadas sobre concessão e pagamento de benefícios, é baseado nos dados do Suibe, cuja edição mais recente foi produzida em fevereiro deste ano.
