Uma recente falha de segurança no Instituto Nacional do Seguro Social (INSS) resultou na exposição de 2,8 milhões de números de Cadastro de Pessoas Físicas (CPFs). A informação foi divulgada pela Dataprev, empresa pública responsável pelo processamento de dados da Previdência Social.

Os dados foram apresentados durante uma reunião do Conselho Nacional da Previdência Social (CNPS).

De acordo com a Dataprev, a vasta maioria dos registros acessados, aproximadamente 98%, pertencia a indivíduos já falecidos. Contudo, cerca de 52 mil segurados ainda vivos tiveram suas informações comprometidas durante o incidente de segurança ocorrido em abril.

O número atualizado de registros afetados supera a estimativa inicial fornecida por técnicos do INSS, que apontava para cerca de 2 milhões de CPFs expostos.

Detalhes sobre os dados vazados

A Dataprev esclareceu que os acessos indevidos incluíram CPFs e datas de nascimento de segurados.

A estatal explicou que a possibilidade de múltiplas consultas para um mesmo CPF pode ter contribuído para o alto volume de acessos registrados.

A empresa assegurou que não houve liberação indevida de benefícios nem contratação automática de empréstimos consignados em decorrência do incidente.

Identificação da falha no sistema

Uma investigação preliminar sugere que a causa do problema foi uma vulnerabilidade no sistema do aplicativo Meu INSS.

Edmar dos Santos Ferreira Junior, representante da Dataprev no CNPS, explicou que uma seção do aplicativo que deveria requerer autenticação estava acessível sem a necessidade de login.

“Era uma consulta que estava inserida em uma interface que exigia login, mas ela permitia uma resposta como se estivesse em um ambiente público”, relatou. Ele acrescentou que o incidente teve duração de apenas um dia.

Medidas de correção e prevenção

A Dataprev declarou que o erro foi corrigido imediatamente após sua identificação. A empresa também está desenvolvendo novas camadas de segurança para prevenir consultas massivas e simultâneas.

“Como uma medida de proteção adicional, a Dataprev implementou novos controles de acesso com limites definidos”, comunicou a estatal.

Em comunicado oficial, o INSS reiterou que a concessão de benefícios envolve múltiplas etapas de validação e segurança.

“A concessão de qualquer benefício passa por uma série de mecanismos de segurança. O INSS tem fortalecido seus controles internos para garantir maior proteção na análise dos benefícios”, declarou a autarquia.

Divulgação do caso

O vazamento foi detectado em 22 de abril, mas sua divulgação pública ocorreu somente na semana passada. Conforme informado pela Dataprev e pelo INSS, a Autoridade Nacional de Proteção de Dados (ANPD) foi notificada assim que o problema foi descoberto.

O incidente gerou preocupação entre especialistas em segurança digital devido à expressiva quantidade de dados expostos.

Potenciais riscos de fraude

Apesar das garantias governamentais de que não houve concessão irregular de benefícios, especialistas alertam para o risco de utilização das informações vazadas em golpes e fraudes financeiras.

O banco de dados do INSS contém informações detalhadas de aposentados, pensionistas e beneficiários de programas sociais, incluindo histórico profissional e dados cadastrais.

Antecedentes de falhas de segurança

Esta não é a primeira ocorrência de falha de segurança relacionada aos sistemas do INSS.

Em 2024, o instituto confirmou um incidente anterior que resultou na exposição de dados confidenciais de aposentados e beneficiários de programas sociais.

Naquela ocasião, o governo também assegurou ter aprimorado os mecanismos de proteção dos sistemas previdenciários.