INSS: Falha de segurança expõe dados de 39 milhões de beneficiários

Milhões de dados sigilosos de beneficiários foram expostos publicamente e acessados por usuários externos. Esta falha resultou na desativação do Suibe (Sistema Único de Informações de Benefícios) no início de maio, paralisando a produção de estatísticas da Previdência Social.

A informação foi publicada na Folha de S. Paulo pela jornalista Indiana Tomazelli e confirmada pelo presidente do INSS, Alessandro Stefanutto.

O INSS acumulou centenas de senhas ao longo das décadas, repassadas a usuários externos sem revisão das autorizações. Dados cadastrais de beneficiários, incluindo tipo de benefício, valor devido e data de concessão, foram expostos. O Suibe é fundamental para a produção do Beps (Boletim Estatístico da Previdência Social), um relatório mensal detalhado das concessões e emissões de benefícios. A edição mais recente disponível é de fevereiro de 2024.

Esses dados vazados podem ser usados por criminosos para ações fraudulentas.

Embora o INSS não tenha provas concretas do vazamento de dados do Suibe, o órgão tem um histórico de reclamações de segurados que souberam da concessão do benefício por meio de terceiros. Relatos de instituições oferecendo produtos financeiros, como empréstimos consignados, antes mesmo do comunicado oficial do INSS são comuns.

“Uma fonte de vazamento provavelmente era o Suibe, pois as pessoas roubam senhas ou cedem ao crime organizado, vendendo dados para financeiras. Por isso, recebem ligações oferecendo empréstimos consignados”, afirmou Stefanutto à Folha de S. Paulo.

Leia Também: Tenho 65 anos e nunca contribuí ao INSS. Tenho algum direito?

Redução das Reclamações

O presidente do INSS acredita que o vazamento está relacionado às fraudes, pois as reclamações sobre empréstimos consignados caíram para 405 em maio, comparadas à média de 943 registros mensais entre janeiro e março.

Usuários externos do Suibe incluem servidores de outros ministérios e representantes de órgãos que utilizam informações da Previdência para suas funções, como a AGU (Advocacia-Geral da União) que usa dados do sistema para defender a União em ações judiciais.

O problema, segundo Stefanutto, é a falta de controle para revogar senhas de usuários que deixaram o órgão ou a administração pública. O acesso era feito apenas com usuário e senha, sem autenticação de dois fatores ou uso de VPN, tornando a governança dos dados frágil e deixando vulneráveis as informações de 39,5 milhões de beneficiários.

A solução tecnológica do Suibe é fornecida pela Dataprev, que afirmou que “informações sobre o Suibe devem ser solicitadas ao INSS, gestor do sistema”.

Segundo Stefanutto, o INSS não controla quais informações foram acessadas pelos usuários externos, monitorando apenas o volume de dados extraídos. Quando esse volume é elevado, o sistema dispara um alerta e o endereço IP é bloqueado.