39 milhões de beneficiários do INSS tiveram dados expostos por falha em sistema

Informações confidenciais de 39 milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) ficaram expostas a usuários externos devido a uma falha de segurança no Sistema Único de Informações de Benefícios (Suibe). A vulnerabilidade permitiu o acesso não autorizado a dados e levou à suspensão da plataforma no mês passado.

A falha expôs informações que incluem dados cadastrais e tipos de benefícios, como aposentadorias e auxílios-doença, tornando os beneficiários alvos fáceis para financeiras oferecerem serviços. A situação foi agravada pela ausência de controle sobre o uso das senhas, que podem ter sido mantidas por ex-funcionários ou repassadas indevidamente.

O presidente do INSS, Alessandro Stefanutto, confirmou a falha e disse que ocorreu por conta do acúmulo de centenas de senhas concedidas a usuários externos ao longo dos anos, sem revisão das autorizações.

“Alguém decidiu ceder ao crime organizado e vendeu isso para as financeiras. Por isso, o cara liga para vender empréstimo consignado”, explicou à apuração da Folha de São Paulo publicada nesta segunda (24), associando o incidente ao aumento das reclamações sobre ofertas de empréstimos antes mesmo do comunicado oficial do INSS aos beneficiários.

O Suibe é essencial para a produção do Boletim Estatístico da Previdência Social (Beps), mas não concede novos benefícios. Ele funciona como um repositório, armazenando informações detalhadas sobre concessões anteriores, incluindo dados cadastrais e valores devidos.

De acordo com a apuração, o INSS não apresentou provas concretas de vazamento, mas o histórico de queixas de segurados sugere que os dados foram acessados e utilizados indevidamente por terceiros. Stefanutto disse que as reclamações envolvendo empréstimo consignado chegou a 943 registros por mês, em média, entre janeiro e março.

Em abril, afirma, foram 553, enquanto que em maio reduziram para 405. Ele diz que decidiu “fechar o portão” e suspender todos os acessos externos ao Suibe para reestruturação.

“Eu achava, honestamente, que isso estava numa governança melhor. O que eu fiz foi fechar o portão”, afirmou.

Novas regras para acesso aos dados

Stefanutto disse que o sistema, fornecido pela Dataprev, passou por uma revisão de segurança e foi restabelecido com novas regras de acesso, incluindo VPN e certificado digital emitido pelo Serpro.

Agora, apenas 11 acessos são permitidos, distribuídos entre a Polícia Federal, Controladoria-Geral da União (CGU), Tribunal de Contas da União (TCU), e os Ministérios do Desenvolvimento Social e Agricultura. A concessão de novos acessos, diz, requer um procedimento formal, mantendo o controle sobre quem pode acessar o sistema.

Além disso, Stefanutto afirma que o INSS implementou a exigência de certificados digitais para os servidores internos que acessam o sistema de concessão de benefícios.

“Qualquer coisa que envolva a senha digital é grave. Deveria ter um controle maior. E é isso que a gente fez: corrigiu”, disse destacando que o órgão tomou medidas para fortalecer a segurança e evitar novos incidentes.