Um vazamento de dados no sistema do Instituto Nacional do Seguro Social (INSS) atingiu 2,8 milhões de Cadastro de Pessoas Físicas (CPFs), segundo informou nesta terça-feira (26) a estatal Dataprev, responsável pelo processamento de informações da Previdência Social. O caso acendeu alerta sobre segurança digital e proteção de dados sensíveis de aposentados, pensionistas e beneficiários de programas sociais.

As informações foram apresentadas durante reunião do Conselho Nacional da Previdência Social (CNPS) e revelam um número maior do que a estimativa inicial do governo, que apontava cerca de 2 milhões de registros potencialmente comprometidos.

Embora a Dataprev tenha informado que 98% dos dados acessados pertenciam a pessoas falecidas, aproximadamente 52 mil segurados vivos tiveram informações expostas durante o incidente de segurança registrado em abril.

O que foi vazado no sistema do INSS?

Segundo a Dataprev, os acessos indevidos envolveram principalmente CPFs e datas de nascimento dos segurados.

A estatal esclareceu que um mesmo CPF pode ter sido consultado várias vezes, fator que ajudaria a explicar o volume elevado de acessos registrados no sistema.

Apesar da falha, o governo afirma que não houve liberação indevida de benefícios previdenciários nem contratação automática de empréstimos consignados.

Falha aconteceu no aplicativo Meu INSS

A investigação preliminar da Dataprev aponta que o problema ocorreu devido a uma brecha de segurança dentro do aplicativo Meu INSS.

Segundo o representante da estatal no Conselho Nacional da Previdência Social, Edmar dos Santos Ferreira Junior, uma área do sistema que deveria exigir autenticação acabou ficando acessível sem necessidade de login.

“Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público”, explicou.

Ainda de acordo com a Dataprev, a vulnerabilidade permaneceu ativa por apenas um dia, sendo corrigida assim que identificada.

Governo diz que reforçou barreiras de segurança

Após o incidente, a Dataprev informou ter implementado novos mecanismos de proteção para impedir consultas em massa e acessos simultâneos indevidos ao banco de dados previdenciário.

“Como medida de proteção adicional, a Dataprev implementou novos controles de segurança com limites de acesso”, informou a empresa.

Em nota oficial, o INSS reforçou que a concessão de benefícios possui diversas etapas de validação e garantiu que os controles internos foram reforçados.

“A concessão de qualquer benefício possui uma série de travas de segurança. O INSS tem reforçado seus controles internos a fim de oferecer maior segurança à análise de seus benefícios”, afirmou o órgão.

Especialistas alertam para risco de golpes e fraudes

Embora o governo negue prejuízos diretos, especialistas em segurança digital alertam para o risco de utilização dos dados expostos em golpes financeiros, fraudes cadastrais e tentativas de engenharia social.

O banco de dados do INSS reúne informações sensíveis de milhões de brasileiros, incluindo aposentados, pensionistas e beneficiários de programas assistenciais.

O caso também reacende discussões sobre a proteção de dados pessoais no setor público, especialmente após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD).

Não é o primeiro incidente envolvendo o INSS

Essa não é a primeira vez que sistemas do INSS enfrentam problemas relacionados à segurança digital.

Em 2024, o instituto confirmou outro episódio envolvendo exposição de dados sigilosos de aposentados e beneficiários de programas assistenciais. Na ocasião, o governo também informou ter reforçado os protocolos de proteção.