Dados de 39,5 milhões de beneficiários do INSS foram expostos e acessados sem controle

Dados sigilosos de cerca de 39,5 milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) ficaram expostos a pessoas que não são do órgão. O vazamento ocorreu devido ao instituto ceder centenas de senhas a usuários externos ao longo das últimas décadas e nunca revogar o acesso dessas pessoas quando elas se desvincularam. Após a descoberta, foi feito o desligamento do chamado Suibe (Sistema Único de Informações de Benefícios), que paralisou a produção de estatísticas da Previdência Social.

A vulnerabilidade do sistema foi confirmada ao Jornal Folha de São Paulo pelo presidente do INSS, Alessandro Stefanutto, que não informou o número exato de senhas de acesso que estavam disponibilizadas. O Suibe é uma ferramenta que não permite conceder novos benefícios, mas contém informações de todos aqueles já existentes. Inclusive, dados cadastrais dos beneficiários, tipo de benefício, valor devido e data de concessão, entre outros. Por meio do Suibe ocorre a produção do Beps (Boletim Estatístico da Previdência Social), relatório mensal detalhado das concessões e emissões de benefícios pagos pelo INSS. A edição mais recente disponível é de fevereiro de 2024.

Caso caia na mão de criminosos, esses dados podem direcionar potenciais ações fraudulentas. Apesar do INSS informar não ter provas concretas sobre o vazamento de dados do Suibe, o órgão acumula diversas reclamações de segurados que tiveram informações sobre benefícios repassadas a terceiros. Há relatos de instituições que entram em contato para oferecer produtos financeiros, como empréstimo consignado, antes mesmo de o beneficiário receber do INSS o comunicado oficial sobre a concessão.

Após o desligamento do Suibe, as reclamações na ouvidoria envolvendo dados sobre empréstimo consignado caíram no mês de maio, quando a ferramenta foi paralisada. Entre janeiro e março, a média foi de 943 registros de ocorrência por mês. Em abril, o número já havia recuado a 553. Em maio, caiu para 405.

Usuários externos

Em sua maioria, os usuários externos do Suibe são servidores de outros ministérios ou representantes de órgãos que utilizam as informações da Previdência para desenvolver alguma tarefa. O problema, conforme o presidente do INSS, é que não havia o controle para retirar o acesso do usuário que deixasse o órgão ou a administração pública. Essas pessoas tinham facilidade em entrar no sistema, pois não era necessário o duplo fator de autenticação nem uso de VPN (ferramenta que limita o acesso a usuários de uma mesma rede privada, mais segura).

Mesmo que os usuários externos não usassem as informações para atos criminosos, a conclusão do INSS é que os dados eram frágeis, deixando vulneráveis as informações dos 39,5 milhões de beneficiários.

Roubo de senhas

O roubo de senhas foi o artifício usado por fraudadores em outro episódio: a invasão do Siafi, sistema de pagamentos da União. Criminosos acessaram a plataforma com senhas de servidores no gov.br e desviaram pelo menos R$ 15 milhões. Até hoje, o caso segue sem solução. Segundo Stefanutto, o acesso ao Suibe já foi restabelecido sob novas regras, que exigem acesso com VPN e uso de certificado digital emitido pelo Serpro, empresa de tecnologia do governo federal.

Devido a isso, o número de senhas também está restrito: foram autorizados 11 acessos, requeridos por cinco órgãos: Polícia Federal, CGU (Controladoria-Geral da União), TCU (Tribunal de Contas da União) e os ministérios do Desenvolvimento Social e Agricultura.

Segundo o presidente do INSS, foi realizada a correção de outras vulnerabilidades, como a possibilidade de servidores do órgão acessarem o sistema de concessão de benefícios apenas com usuário e senha. A instituição também passou a cobrar o uso do certificado digital.