O INSS confirmou na tarde desta segunda-feira (24) que dados cadastrais de cerca de 40 milhões de aposentados e pensionistas foram expostos devido a acessos sem controle por meio de logins de servidores públicos de órgãos externos.
O INSS confirmou na tarde desta segunda-feira (24) que dados cadastrais de cerca de 40 milhões de aposentados e pensionistas foram expostos devido a acessos sem controle por meio de logins de servidores públicos de órgãos externos.
O problema, que se arrasta há décadas, envolveu servidores que se aposentaram, foram exonerados ou pediram demissão, mas cujas credenciais de acesso permaneceram ativas.
Segundo nota do INSS, apesar da exposição dos dados, não houve prejuízo aos cofres públicos, já que o Sistema Único de Informações de Benefícios (Suibe) não é utilizado para a liberação de benefícios. O Suibe armazena informações dos beneficiários como nome, CPF, tipo de benefício (aposentadoria, pensão, salário-maternidade, auxílios e Benefício de Prestação Continuada), data de concessão e valor recebido.
O problema teve origem em gestões anteriores, quando senhas de acesso ao sistema foram distribuídas a outros órgãos federais, como a Controladoria-Geral da União e a Advocacia-Geral da União, para fins de controle e defesa em ações judiciais. No entanto, esses acessos não eram monitorados e a segurança era limitada a login e senha, sem autenticação de duplo fator, certificado digital ou criptografia.
Com a saída dos servidores desses órgãos, suas credenciais continuaram válidas, ficando vulneráveis a hackers, fraudadores e criminosos. Um possível uso indevido dessas senhas inclui a venda de dados a financeiras que oferecem crédito consignado a beneficiários do INSS ou até mesmo a solicitação de crédito especial em nome dos segurados.
O INSS informou que a Dataprev, responsável pelo desenvolvimento do Suibe, detectou um aumento no fluxo de pedidos de informações ao sistema. Em resposta, as senhas externas foram imediatamente suspensas e um novo protocolo de concessão de acessos foi implementado. O acesso externo agora requer certificado digital e criptografia para garantir maior segurança.
"Um servidor de alguns dos órgãos que têm acesso ao Suibe se aposenta ou passa em outro concurso e detém a senha. Ele não era 'descadastrado'. Agora, com a certificação digital e a criptografia, quem tiver a posse da senha ficará sem acesso", disse o INSS em nota.
O INSS disse também que ainda está levantando o impacto da exposição de dados dos beneficiários e verificar se, de fato, houve vazamento de informações. Somente após a conclusão das análises, o caso será encaminhado à Polícia Federal (PF).
"O Suíbe foi o primeiro sistema extrator de dados do INSS que teve o fluxo de acesso alterado pelas novas regras de segurança tecnológica, que estão sendo renovadas em 2024. Os sistemas que geram a concessão de benefícios já estão com a nova camada de segurança", afirma o comunicado do instituto.
Antes de adicionar camadas de segurança ao Sistema Único de Informações de Benefícios (Suibe), o INSS desativou temporariamente o sistema no início de maio. Esta interrupção suspendeu a produção de estatísticas importantes, como o Boletim Estatístico da Previdência Social (Beps).
O Beps, que fornece informações detalhadas sobre a concessão e o pagamento de benefícios, é elaborado com base nos dados do Suibe. A edição mais recente desse relatório foi produzida em fevereiro deste ano.