Falha expõe dados de até 2 milhões de segurados do INSS

Uma falha de segurança em sistema ligado ao INSS (Instituto Nacional do Seguro Social) expôs dados de segurados da Previdência. O incidente foi identificado pela Dataprev, estatal responsável pelos sistemas da Previdência Social, em 22 de abril, e confirmado pelo próprio instituto ao jornal Folha de S.Paulo.

O número exato de pessoas atingidas ainda não foi informado. O INSS afirma que a Dataprev segue finalizando o relatório sobre o caso. Pelos dados divulgados pelo instituto, 97% dos cadastros acessados indevidamente seriam de pessoas já falecidas. Os demais, cerca de 50 mil, seriam de segurados sem registro de óbito. A partir dessa proporção, o vazamento pode ter atingido até 1,6 milhão de CPFs. Técnicos ouvidos pela reportagem estimam que o total possa chegar a aproximadamente 2 milhões.

O caso foi comunicado à ANPD (Agência Nacional de Proteção de Dados), como exige a legislação em episódios de possível exposição de dados pessoais. A agência, porém, informou que não divulga detalhes individualizados sobre incidentes de segurança, sob argumento de proteger sistemas, instituições e pessoas afetadas.

Segundo técnicos ouvidos pela Folha, a brecha aparecia quando um terceiro tentava abrir, em nome de um segurado, um pedido de benefício, como aposentadoria, pensão por morte ou auxílio-reclusão. Ao informar o CPF, o sistema exibia outros dados do cadastro, como nome completo, data de nascimento e, em alguns casos, histórico de vínculos de trabalho.

Vídeos com orientações sobre como explorar a falha circulavam nas redes sociais desde o ano passado, conforme a reportagem. A suspeita é de que parte dos acessos tenha sido feita de forma automatizada, com uso de robôs para testar CPFs e coletar informações dos cadastros.

Em nota, o INSS afirmou que a exposição dos dados não permite, sozinha, acesso a benefícios. O órgão destacou que a concessão exige documentos, etapas de comprovação e travas de segurança. No caso de empréstimos consignados, por exemplo, o instituto citou a exigência de biometria facial. Para pensão por morte, há necessidade de certidão de óbito e outros procedimentos.

O instituto também informou que adotou providências no mesmo dia em que a falha foi identificada e que reforçou controles internos. A Dataprev foi procurada pela Folha, mas não havia se manifestado até a publicação da reportagem.