O Instituto Nacional do Seguro Social (INSS) confirmou, por meio de um comunicado, que dados cadastrais de aproximadamente 40 milhões de aposentados e pensionistas foram expostos devido a acessos não controlados ao sistema. A falha persistiu por décadas e ocorreu por meio de logins de servidores públicos de outros órgãos, que já haviam se aposentado, sido exonerados ou pedido demissão.
O Órgão destacou que, apesar do problema, não houve prejuízos aos cofres públicos, pois o Sistema Único de Informações de Benefícios (Suibe) não é utilizado para a liberação de benefícios. Este sistema serve apenas para armazenar informações dos beneficiários, como nome, CPF, tipo de benefício (aposentadoria, pensão, salário-maternidade, auxílios e Benefício de Prestação Continuada), data de concessão e valor recebido.
Como ocorreu o vazamento?
O INSS explicou que, em administrações passadas, senhas foram fornecidas a outros órgãos federais para o acesso ao sistema. Esse compartilhamento incluía entidades de controle, como a Controladoria-Geral da União, e a Advocacia-Geral da União, para auxiliar na defesa do governo em processos judiciais. No entanto, não havia supervisão sobre o uso dessas senhas. O acesso era feito apenas com login e senha, sem medidas adicionais de segurança, como autenticação em duas etapas, certificados digitais ou criptografia.
Com isso, mesmo após os servidores dos órgãos externos deixarem suas respectivas funções, os logins e senhas continuavam válidos, facilitando dessa maneira com que essas informações de logins fossem parar nas mãos de hackers, fraudadores e criminosos.
Alguns dos possíveis usos para essas senhas externas seriam a venda de informações para financeiras que poderiam oferecer crédito consignado a beneficiários. Além disso, os criminosos que tinham acesso às informações vazadas poderiam solicitar o crédito especial em nome do segurado do INSS.
Providências tomadas pelo INSS
Em nota, o INSS afirmou que, o órgão responsável pelo desenvolvimento do Suibe, a Dataprev, percebeu um fluxo aumentado de pedidos de informação ao sistema. No mesmo momento as senhas externas foram suspensas, e o governo produziu um protocolo para regulamentar a concessão de acessos por outros órgãos federais. A partir de agora o uso externo passará a se utilizar de novas camadas de segurança como certificado digital e criptografia.
“Um servidor de alguns dos órgãos que têm acesso ao Suibe se aposenta ou passa em outro concurso e detém a senha. Ele não era ‘descadastrado’. Agora, com a certificação digital e a criptografia, quem tiver a posse da senha ficará sem acesso”, afirmou o INSS no comunicado.
O INSS também afirmou que está realizando uma análise para entender qual foi o impacto dessa exposição de dados dos beneficiários, e também, determinar se houve realmente vazamento de informações. Após a conclusão dessas análises, o caso deve ser encaminhado para a Polícia Federal.
“O Suíbe foi o primeiro sistema extrator de dados do INSS que teve o fluxo de acesso alterado pelas novas regras de segurança tecnológica, que estão sendo renovadas em 2024. Os sistemas que geram a concessão de benefícios já estão com a nova camada de segurança”, enfatiza a nota.
Crédito: Getty Images/iStockphoto
Atraso nos Boletins estatísticos
Para que as mudanças previstas na segurança do sistema fossem possíveis de ser implementadas, o INSS precisou desligar o sistema no início do mês de maio deste ano. Essa desativação necessária, acabou paralisando a produção de dados estatísticos, dessa maneira afetando a produção de alguns Boletins como, por exemplo, o Beps (Boletim Estatístico da Previdência Social).
Esse relatório traz dados detalhados sobre a concessão e o pagamento de benefícios do INSS. O Beps é realizado com base nos dados trazidos do Suibe. Por conta do vazamento e das mudanças estruturais necessárias dentro do sistema, o relatório mais recente foi produzido em fevereiro de 2024.
