Milhões de dados de beneficiários do INSS (Instituto Nacional do Seguro Social) ficaram expostos devido a falhas no controle de acessos. A vulnerabilidade no Suibe (Sistema Único de Informações de Benefícios) foi descoberta recentemente, levando à suspensão temporária do sistema.
O presidente do INSS, Alessandro Stefanutto, confirmou que centenas de senhas foram concedidas a usuários externos ao longo das décadas, sem a devida revisão de acessos. Esses usuários, muitas vezes, eram servidores de outros ministérios ou representantes de órgãos que utilizam as informações da Previdência Social para suas atividades. No entanto, a falta de controle para revogar os acessos de quem deixou o cargo resultou na exposição dos dados.
"Eu achava, honestamente, que isso estava numa governança melhor. Não quer dizer, porque você tem um portão aberto, que a casa vai ser roubada. Mas pode ser mais roubada do que com o portão fechado. O que eu fiz foi fechar o portão. Mandei suspender todos [os usuários externos]. Tirei da tomada, falei 'reorganizem'", afirmou Stefanutto.
Dados de beneficiários do INSS expostos e em risco
O Suibe é crucial para a produção do Beps (Boletim Estatístico da Previdência Social) e contém informações detalhadas dos beneficiários. O que inclui dados cadastrais, tipos de benefícios, valores e datas de concessão. Apesar de o INSS não ter provas concretas de que houve vazamento, o histórico de reclamações dos segurados sugere que os dados possam ter sido acessados indevidamente.
Além disso, existem relatos de instituições que entram em contato oferecendo produtos financeiros, como empréstimos consignados. Isso aconteceu antes mesmo de os beneficiários receberem o comunicado oficial do INSS sobre a concessão.
O acesso ao Suibe era feito apenas com usuário e senha, sem duplo fator de autenticação ou uso de VPN. Esta fragilidade deixou os dados dos 39,5 milhões de beneficiários vulneráveis. Stefanutto reconheceu que o controle sobre quem tinha acesso aos dados não era adequado, o que levou à decisão de suspender todos os acessos externos e revisar as políticas de segurança.
"Uma fonte de vazamento, provavelmente, era lá, porque as pessoas roubam a senha dos outros. Alguém também decidiu ceder ao crime organizado. Daí vende isso para as financeiras, provavelmente. Por isso o cara liga para vender empréstimo consignado. Arranjou o telefone, arranjou tudo, porque lá tem dados cadastrais das pessoas", explicou Stefanutto.
Crédito: rafastockbr/Shutterstock
Ação corretiva para proteger dados de beneficiários do INSS
Após a descoberta, o acesso ao Suibe foi restabelecido sob novas regras, que incluem o uso de VPN e certificado digital emitido pelo Serpro. Apenas 11 acessos foram autorizados, envolvendo órgãos como a Polícia Federal, CGU, TCU e os ministérios do Desenvolvimento Social e da Agricultura. O INSS também implementou o uso de certificado digital para acesso ao sistema de concessão de benefícios, visando aumentar a segurança.
"Claro que é grave. Qualquer coisa que envolva a senha digital é grave. Deveria ter um controle maior. E é isso que a gente fez: corrigiu", afirmou Stefanutto.
Se você tem dúvidas sobre os serviços do INSS, conheça o programa de Assistência do Instituto de Longevidade. Torne-se um associado e tenha um serviço exclusivo de atendimento para conquistar a sua aposentadoria.
Leia também:
Bla, bla, bla é escrito em documento do INSS ao negar auxílio a trabalhador
Atestmed do INSS já pode ser pedido pela Central 135; saiba como usar a ferramenta
Esquema de fraude no INSS expõe falhas de segurança em benefícios e serviços federais
