Um incidente de segurança no Instituto Nacional do Seguro Social (INSS) resultou na exposição de 2,8 milhões de Cadastro de Pessoas Físicas (CPFs). A informação foi confirmada pela Dataprev, empresa estatal responsável pelo processamento de dados da Previdência Social, durante reunião do Conselho Nacional da Previdência Social (CNPS).
Segundo a Dataprev, a vasta maioria dos CPFs vazados, cerca de 98%, pertencia a cidadãos já falecidos. No entanto, aproximadamente 52 mil segurados ainda vivos tiveram seus dados acessados indevidamente. O número atualizado supera a estimativa inicial de 2 milhões de registros afetados, divulgada anteriormente por técnicos do INSS.
As informações expostas incluíam CPFs e datas de nascimento. A Dataprev explicou que a alta quantidade de acessos pode ter ocorrido porque um mesmo CPF foi consultado múltiplas vezes. A estatal assegurou que não houve liberação indevida de benefícios nem contratações fraudulentas de empréstimos consignados.
A investigação preliminar aponta para uma falha no aplicativo Meu INSS. Edmar dos Santos Ferreira Junior, representante da Dataprev, explicou que uma área do sistema que exigia autenticação estava acessível sem login, permitindo consultas em um ambiente público. O incidente, segundo ele, durou apenas um dia.
A Dataprev informou que o erro foi corrigido imediatamente após sua identificação e que novas barreiras de segurança estão sendo implementadas para impedir consultas simultâneas em massa, incluindo limites de acesso como medida adicional de proteção.
Em nota, o INSS reforçou que a concessão de benefícios possui diversas etapas de validação e segurança, e que a autarquia tem aprimorado seus controles internos para garantir maior proteção aos dados dos segurados.
O vazamento foi detectado em 22 de abril, mas só se tornou público na semana passada. A Autoridade Nacional de Proteção de Dados (ANPD) foi acionada logo após a descoberta. Especialistas em segurança digital expressaram preocupação com a quantidade de dados expostos, alertando que, mesmo sem concessão irregular de benefícios, as informações podem ser utilizadas em golpes e fraudes financeiras, visto que o banco de dados do INSS contém dados cadastrais e vínculos empregatícios de aposentados, pensionistas e beneficiários de programas sociais.
Esta não é a primeira falha de segurança registrada envolvendo sistemas do INSS. Em 2024, outro incidente já havia exposto informações sigilosas de segurados, levando o governo a afirmar, na ocasião, o reforço nos mecanismos de proteção dos sistemas previdenciários.
