Um vazamento de dados no sistema do Instituto Nacional do Seguro Social (INSS) expôs 2,8 milhões de CPFs. A Dataprev, estatal responsável pelo processamento de informações da Previdência Social, confirmou o incidente nesta terça-feira (26) em reunião do Conselho Nacional da Previdência Social (CNPS), detalhando que a falha afetou principalmente registros de pessoas falecidas, mas também cerca de 52 mil segurados ativos.
O número divulgado pela Dataprev superou a estimativa inicial do INSS, que mencionava cerca de 2 milhões de registros comprometidos. A empresa detalhou que aproximadamente 98% dos CPFs acessados indevidamente pertenciam a indivíduos já falecidos.
Ainda assim, o incidente alcançou 52 mil segurados vivos. Suas informações pessoais, incluindo CPF e data de nascimento, foram expostas.
A estatal também explicou que um mesmo CPF pode ter sido consultado mais de uma vez, o que contribuiu para o volume elevado de acessos registrados.
Falha no Sistema do Meu INSS Expôs Dados
A investigação preliminar atribui o problema a uma falha específica no aplicativo Meu INSS. Edmar dos Santos Ferreira Junior, representante da Dataprev no CNPS, explicou que uma área do sistema que deveria exigir autenticação de login estava, por um lapso, acessível publicamente.
“Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público”, afirmou Ferreira Junior. O incidente, segundo ele, perdurou por apenas um dia.
A Dataprev ressaltou que, apesar dos acessos indevidos, não houve liberação indevida de benefícios nem contratação automática de empréstimos consignados, uma preocupação comum em casos de exposição de dados previdenciários.
A correção do erro ocorreu imediatamente após sua identificação. A Dataprev informou ter implementado novas barreiras de segurança.
A empresa agora desenvolve mecanismos para impedir consultas simultâneas e em massa, uma medida de proteção adicional. Novos controles de segurança com limites de acesso foram estabelecidos para reforçar a proteção dos sistemas.
O INSS, por sua vez, declarou que o processo de concessão de qualquer benefício opera com diversas etapas de validação e segurança. A autarquia afirmou que reforçou seus controles internos para garantir maior proteção na análise dos benefícios e dos dados dos segurados.
O vazamento de dados INSS foi detectado em 22 de abril, mas só veio a público na semana passada. Tanto a Dataprev quanto o Instituto Nacional do Seguro Social notificaram a Autoridade Nacional de Proteção de Dados (ANPD) logo que o problema foi descoberto.
Especialistas em segurança digital demonstraram preocupação com o volume de dados expostos. Embora o governo garanta que não houve concessão irregular de benefícios, eles alertam para os riscos potenciais de golpes e fraudes financeiras para os segurados, especialmente os vivos.
O banco de dados do INSS, ao concentrar informações pessoais de aposentados, pensionistas e beneficiários de programas sociais, incluindo vínculos empregatícios e dados cadastrais detalhados, torna-se um alvo sensível. Mesmo CPFs e datas de nascimento, aparentemente simples, podem ser o ponto de partida para a engenharia social, facilitando tentativas de golpes.
Histórico de Falhas Aumenta Preocupação
Esta não é a primeira vez que o sistema do INSS sofre com falhas de segurança. Em 2024, o instituto confirmou outro incidente, que também expôs informações sigilosas de aposentados e beneficiários de programas assistenciais.
Naquela ocasião, o governo igualmente assegurou ter reforçado os mecanismos de proteção dos sistemas previdenciários. A recorrência dos problemas levanta questionamentos sobre a robustez e a contínua fiscalização dos sistemas que guardam dados sensíveis de milhões de brasileiros, impactando diretamente a confiança na gestão pública.
Contexto
O INSS administra a Previdência Social brasileira, abrangendo aposentadorias, pensões e auxílios para milhões de cidadãos. A integridade e a segurança de seus sistemas são vitais para a confiança pública e para a proteção de dados pessoais sensíveis, conforme preconiza a Lei Geral de Proteção de Dados Pessoais (LGPD). Vazamentos recorrentes comprometem a reputação da autarquia e expõem cidadãos a potenciais golpes, exigindo investimentos contínuos em cibersegurança e auditorias rigorosas para mitigar riscos a longo prazo na gestão de um dos maiores bancos de dados públicos do país.
