Uma grave falha de segurança no Instituto Nacional do Seguro Social (INSS) expôs dados sigilosos de milhões de beneficiários, permitindo acesso não autorizado por usuários externos ao Sistema Único de Informações de Benefícios (Suibe). A descoberta levou à interrupção do sistema no início de maio, afetando a produção de estatísticas da Previdência Social.
O presidente do INSS, Alessandro Stefanutto, confirmou que o órgão acumulou um estoque significativo de senhas concedidas a usuários externos ao longo de décadas, sem revisão ou controle efetivo desses acessos. Essas senhas permitiam acesso ao Suibe, que armazena informações detalhadas sobre benefícios concedidos pelo INSS, incluindo dados cadastrais dos beneficiários, tipos de benefícios, valores e datas de concessão.
Embora não haja provas concretas de vazamento de dados, o sistema vulnerável se torna um alvo potencial para atividades criminosas, como fraudes financeiras direcionadas aos beneficiários. O presidente do INSS mencionou que muitos segurados reclamaram de terem sido contatados por terceiros oferecendo produtos financeiros, como empréstimos consignados, antes mesmo de receberem oficialmente a comunicação do INSS sobre a concessão de seus benefícios.
“A vulnerabilidade do Suibe era evidente. As pessoas poderiam roubar senhas de outros para acessar dados cadastrais. Alguém até decidiu compartilhar essas informações com o crime organizado. Por isso, temos relatos de contatos oferecendo empréstimos consignados. Foi como se conseguisse acesso a números de telefone, porque é no registro de cadastro das pessoas”, afirmou Stefanutto.
A solução tecnológica para o Suibe é fornecida pela Dataprev, empresa de tecnologia do governo federal, que se limitou a comentar que “informações sobre o Suibe devem ser solicitadas ao INSS, órgão gestor do sistema”.
Após o incidente, o acesso ao Suibe foi restabelecido com novas medidas de segurança, incluindo o uso de VPN e certificado digital emitido pelo Serpro para autenticação. O número de acessos foi significativamente reduzido e restrito a 11 autorizações concedidas a cinco órgãos específicos do governo, como a Polícia Federal e o Tribunal de Contas da União (TCU).
“Agora temos um controle muito mais rigoroso sobre quem acessa esses dados sensíveis. Implementamos novas regras para garantir a segurança das informações dos beneficiários do INSS”, concluiu Stefanutto.
A investigação sobre o incidente continua, enquanto o INSS trabalha para fortalecer suas defesas cibernéticas e proteger os dados confidenciais de milhões de cidadãos brasileiros.
