O Instituto Nacional do Seguro Social (INSS) confirmou que cerca de 40 milhões de dados cadastrais de aposentados e pensionistas ficaram expostos devido a acessos descontrolados por meio de logins de servidores públicos de órgãos externos ao INSS, que se aposentaram, foram exonerados ou pediram demissão.

Acesso Indevido Prolongado

Segundo o INSS, o problema se originou na distribuição de senhas de acesso ao Sistema Único de Informações de Benefícios (Suibe) para órgãos federais, incluindo a Controladoria-Geral da União e a Advocacia-Geral da União. Essas senhas continuaram válidas mesmo após os servidores deixarem suas funções, permitindo acesso não autorizado a informações como nome, CPF, tipo de benefício, data de concessão e valores recebidos.

“O Suíbe não é usado para liberar benefícios, por isso não houve prejuízo financeiro aos cofres públicos”, informou o INSS. Contudo, o sistema armazena dados sensíveis que podem ter sido usados indevidamente, como para vender informações a financeiras que oferecem crédito consignado ou para criminosos solicitarem crédito em nome dos segurados.

Falta de Segurança no Acesso

A falha de segurança se agravou pela ausência de monitoramento e camadas adicionais de proteção. O acesso ao Suibe era feito apenas com login e senha, sem a implementação de autenticação de duplo fator, certificado digital ou criptografia. Isso permitiu que logins de servidores que já não estavam na ativa continuassem sendo usados sem qualquer controle.

Ação Corretiva Imediata

Em resposta à detecção de um aumento no fluxo de pedidos de informações ao Suibe, a Dataprev, responsável pela solução tecnológica do sistema, suspendeu imediatamente as senhas externas. O governo agora exige certificado digital e criptografia para acessos externos.

“Com a implementação da certificação digital e criptografia, mesmo que alguém possua a senha, o acesso será negado”, destacou o INSS em comunicado.

Impacto e Medidas Futuras

O INSS está avaliando o impacto da exposição e verificando se houve vazamento de informações. Somente após a conclusão dessa análise, o caso será encaminhado à Polícia Federal para investigação.

“O Suíbe foi o primeiro sistema do INSS a ter o fluxo de acesso modificado pelas novas regras de segurança tecnológica que serão renovadas em 2024”, afirma o comunicado. Outros sistemas do INSS que geram a concessão de benefícios já estão operando com essa nova camada de segurança.

Paralisação Temporária e Impacto nas Estatísticas

Para implementar as novas medidas de segurança, o Suibe foi temporariamente desativado no início de maio, o que interrompeu a produção de estatísticas como o Boletim Estatístico da Previdência Social (Beps). O relatório, que detalha a concessão e pagamento de benefícios, tem sua última edição publicada em fevereiro deste ano.

Próximos Passos

O INSS se comprometeu a reforçar a segurança dos dados e a corrigir as falhas identificadas. A adoção de práticas mais rigorosas de controle de acesso visa proteger informações sensíveis dos beneficiários e evitar futuros incidentes.