Um vazamento recente de dados no sistema do INSS expôs 2,8 milhões de CPFs, informou ontem (26) a Dataprev, estatal responsável pelo processamento de informações da Previdência Social. Os dados foram apresentados durante reunião do Conselho Nacional da Previdência Social (CNPS).
Segundo a empresa, cerca de 98% dos registros acessados pertenciam a pessoas já falecidas. Ainda assim, aproximadamente 52 mil segurados vivos tiveram informações expostas durante o incidente de segurança ocorrido em abril.
O número divulgado pela Dataprev supera a estimativa inicial apresentada por técnicos do Instituto Nacional do Seguro Social (INSS), que falavam em cerca de 2 milhões de registros afetados.
De acordo com a estatal, os acessos indevidos envolveram CPFs e datas de nascimento de segurados. A empresa explicou que um mesmo CPF pode ter sido consultado mais de uma vez, o que inflou o volume total de acessos identificados.
Segundo a Dataprev, não houve concessão indevida de benefícios nem contratação automática de empréstimos consignados.
A investigação preliminar aponta que a falha ocorreu no sistema do aplicativo Meu INSS. Segundo Edmar dos Santos Ferreira Junior, representante da Dataprev no CNPS, uma área que deveria exigir autenticação acabou ficando acessível sem login.
“Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público”, afirmou. Segundo ele, a vulnerabilidade permaneceu ativa por apenas um dia.
A Dataprev informou que a falha foi corrigida após a identificação do problema e afirmou ter implementado novos mecanismos para impedir consultas simultâneas em massa.
“Como medida de proteção adicional, a Dataprev implementou novos controles de segurança com limites de acesso”, informou a estatal.
Em nota, o INSS afirmou que a concessão de benefícios possui diferentes etapas de validação e segurança. “A concessão de qualquer benefício possui uma série de travas de segurança. O INSS tem reforçado seus controles internos a fim de oferecer maior segurança à análise de seus benefícios”.
O vazamento foi identificado em 22 de abril, mas só veio a público na semana passada. Segundo Dataprev e INSS, a Autoridade Nacional de Proteção de Dados (ANPD) foi acionada logo após a descoberta da falha.
Especialistas em segurança digital alertam que dados vazados podem ser usados em golpes e fraudes financeiras. O banco de dados do INSS reúne informações pessoais de aposentados, pensionistas e beneficiários de programas sociais, incluindo vínculos empregatícios e dados cadastrais.
Não é a primeira falha de segurança envolvendo sistemas do INSS. Em 2024, o instituto confirmou outro incidente que expôs informações sigilosas de aposentados e beneficiários de programas assistenciais. Na ocasião, o governo também afirmou ter reforçado os mecanismos de proteção dos sistemas previdenciários.
