Um vazamento de dados no sistema do Instituto Nacional do Seguro Social (INSS) expôs informações de cerca de 2,8 milhões de CPFs, segundo informou nesta terça-feira (26) a Dataprev, estatal responsável pelo processamento de dados da Previdência Social. As informações foram apresentadas durante reunião do Conselho Nacional da Previdência Social (CNPS).
De acordo com a Dataprev, aproximadamente 98% dos registros acessados pertenciam a pessoas já falecidas. Ainda assim, cerca de 52 mil segurados vivos tiveram dados expostos durante o incidente de segurança identificado em abril. O número divulgado supera a estimativa inicial apresentada por técnicos do INSS, que apontava cerca de 2 milhões de registros afetados.
Segundo a estatal, os acessos indevidos envolveram CPFs e datas de nascimento dos segurados. A empresa explicou que um mesmo CPF pode ter sido consultado mais de uma vez, o que contribuiu para o volume elevado de acessos registrados.
A Dataprev afirmou que não houve concessão irregular de benefícios nem contratação automática de empréstimos consignados.
A investigação preliminar aponta que a falha ocorreu no sistema do aplicativo Meu INSS. Segundo Edmar dos Santos Ferreira Junior, representante da Dataprev no CNPS, uma área que deveria exigir autenticação acabou ficando acessível sem necessidade de login. “Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público”, afirmou.
Ainda segundo ele, o problema permaneceu ativo por apenas um dia.
A Dataprev informou que a falha foi corrigida assim que identificada e que novos mecanismos de segurança foram implementados para impedir consultas simultâneas em massa. “Como medida de proteção adicional, a Dataprev implementou novos controles de segurança com limites de acesso”, informou a estatal.
Em nota, o INSS afirmou que a concessão de benefícios possui diferentes etapas de validação e segurança. “A concessão de qualquer benefício possui uma série de travas de segurança. O INSS tem reforçado seus controles internos a fim de oferecer maior segurança à análise de seus benefícios”, declarou a autarquia.
O caso foi identificado em 22 de abril, mas só se tornou público na semana passada. Segundo o INSS e a Dataprev, a Autoridade Nacional de Proteção de Dados (ANPD) foi acionada logo após a descoberta do incidente.
Apesar de o governo afirmar que não houve pagamentos irregulares, especialistas em segurança digital alertam para o risco de golpes e fraudes financeiras a partir do uso de informações vazadas.
O banco de dados do INSS reúne informações pessoais de aposentados, pensionistas e beneficiários de programas sociais, incluindo vínculos empregatícios e dados cadastrais.
Essa não é a primeira ocorrência envolvendo falhas de segurança nos sistemas previdenciários. Em 2024, o INSS já havia confirmado outro incidente que expôs informações sigilosas de aposentados e beneficiários de programas assistenciais. Na ocasião, o governo informou ter reforçado os mecanismos de proteção digital.
*Informações e imagem: Agência Brasil
