Um vazamento de dados envolvendo sistemas do Instituto Nacional do Seguro Social (INSS) expôs informações relacionadas a 2,8 milhões de Cadastros de Pessoas Físicas (CPFs), segundo informou nesta terça-feira a Dataprev, estatal responsável pelo processamento tecnológico da Previdência Social.
O caso foi apresentado durante reunião do Conselho Nacional da Previdência Social (CNPS) e ampliou preocupações sobre segurança digital e proteção de dados em sistemas públicos brasileiros.
De acordo com a Dataprev, aproximadamente 98% dos dados acessados pertenciam a pessoas já falecidas. Ainda assim, cerca de 52 mil segurados vivos tiveram informações expostas durante o incidente registrado em abril.
O volume divulgado supera a estimativa inicial apresentada anteriormente por técnicos do INSS, que apontava aproximadamente 2 milhões de registros afetados.
Segundo a estatal, os acessos indevidos envolveram principalmente números de CPF e datas de nascimento dos segurados. A empresa explicou que um mesmo documento pode ter sido consultado múltiplas vezes, o que contribuiu para o elevado número total de acessos registrados.
A Dataprev afirmou que não houve liberação irregular de benefícios previdenciários nem contratação automática de empréstimos consignados em decorrência do incidente.
A investigação preliminar aponta que a origem do problema estaria relacionada a uma falha no sistema do aplicativo Meu INSS. Segundo Edmar dos Santos Ferreira Junior, representante da Dataprev no CNPS, uma funcionalidade que deveria exigir autenticação acabou ficando acessível em ambiente público sem necessidade de login.
“Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público”, afirmou o representante durante a reunião.
De acordo com a empresa, a vulnerabilidade permaneceu ativa por apenas um dia e foi corrigida imediatamente após sua identificação.
A Dataprev informou ainda que implementou novas camadas de proteção para restringir consultas simultâneas em massa e ampliar os mecanismos de monitoramento dos sistemas.
“O INSS possui uma série de travas de segurança na concessão de benefícios e vem reforçando seus controles internos para ampliar a proteção dos dados dos segurados”, informou a autarquia em nota.
O incidente foi identificado em 22 de abril, mas se tornou público apenas na última semana. Segundo o governo, a Autoridade Nacional de Proteção de Dados (ANPD) foi acionada logo após a descoberta da falha.
Especialistas em segurança cibernética alertam que, mesmo sem movimentações financeiras indevidas confirmadas até o momento, informações cadastrais vazadas podem ser utilizadas em golpes digitais, fraudes financeiras e tentativas de engenharia social.
O episódio também reacende o debate sobre a modernização da infraestrutura tecnológica de órgãos públicos e os desafios crescentes relacionados à proteção de dados sensíveis em plataformas digitais governamentais.
O INSS já havia registrado outro incidente de segurança em 2024, quando informações sigilosas de aposentados e beneficiários de programas assistenciais também foram expostas. Na ocasião, o governo informou ter reforçado os mecanismos de proteção dos sistemas previdenciários.
Com informações da Agência Brasil
