Dados de segurados do INSS vazam após falha de segurança

BRASÍLIA, DF () – Uma falha de segurança na plataforma digital do INSS (Instituto Nacional do Seguro Social) permitiu o vazamento de dados de milhares de segurados do órgão. O incidente foi comunicado à ANPD (Agência Nacional de Proteção de Dados), mas ainda não era público e foi confirmado à Folha de S.Paulo pelo próprio instituto.

O INSS não informou o número exato de segurados que tiveram suas informações expostas indevidamente, sob o argumento de que a Dataprev, empresa estatal que faz a gestão dos sistemas da Previdência Social, continua fechando um relatório sobre o episódio.

Em nota, porém, o órgão afirma que 97% dos dados expostos se referiam a cidadãos falecidos e que os casos envolvendo segurados sem registro de óbito (ou seja, vivos) ficaram em cerca de 50 mil, menos de 3% do total. A partir desses números, é possível calcular que o vazamento alcançou até 1,666 milhão de segurados.

Técnicos ouvidos sob reserva falam em exposição indevida de dados de aproximadamente 2 milhões.

A ANPD disse que informações individualizadas sobre eventuais incidentes de segurança “não são passíveis de divulgação pública”, sob a justificativa de preservar a segurança institucional e a integridade dos sistemas afetados. “A divulgação de informações técnicas sensíveis sobre sistemas, vulnerabilidades e medidas de segurança adotadas pelas instituições envolvidas pode comprometer a segurança de pessoas, organizações e das próprias infraestruturas afetadas”, afirmou.

Procurada desde a noite de quarta-feira (20), a Dataprev não se manifestou até a publicação deste texto.

O INSS afirma que o incidente foi identificado em 22 de abril pela Dataprev e que as “devidas providências” foram adotadas no mesmo dia. Além da comunicação à ANPD, obrigatória em casos como esse, o instituto não detalhou outras eventuais providências tomadas para sanar as causas do vazamento.

Segundo técnicos ouvidos pela Folha sob condição de anonimato, a falha ocorria quando um terceiro tentava apresentar, em nome do segurado, um requerimento de benefício, como aposentadoria, pensão por morte ou auxílio-reclusão (pago a dependentes de segurados de baixa renda que estão presos em regime fechado).

Ao digitar o CPF do beneficiário, o sistema exibia outras informações do cadastro daquele indivíduo, como nome completo e data de nascimento. Em alguns casos, era possível até mesmo visualizar o histórico de vínculos empregatícios do segurado, com data de início e término de cada um.

Vídeos de advogados e atravessadores ensinando o “truque” ou a “estratégia” para acessar as informações circulam nas redes sociais desde o ano passado e chegaram ao conhecimento da Dataprev nas últimas semanas.

Segundo os técnicos, há a suspeita de que alguns indivíduos, cientes da falha no sistema, passaram a usar robôs para introduzir uma série de CPFs e minerar as demais informações dos cadastros.

Segundo o INSS, do total de CPFs acessados, 97% eram de cidadãos já falecidos.

Em nota, o órgão disse que “a exposição de dados não garante acesso a benefícios”. “O INSS destaca que a concessão exige uma série de documentos e etapas de comprovação. Os empréstimos consignados, por exemplo, exigem biometria facial. A pensão por óbito exige certidão de óbito, dentre outros documentos e procedimentos”, afirmou.

O instituto disse ainda possuir “uma série de travas de segurança” na concessão de benefícios e afirmou ter reforçado seus controles internos.

Essa não é a primeira vez que ocorre um vazamento de dados de beneficiários do INSS. Em 2024, a Folha revelou que informações sigilosas de milhões de beneficiários do INSS ficaram expostas a usuários externos, que puderam acessar as informações sem o devido controle do órgão.

Na ocasião, a descoberta levou ao desligamento do chamado Suibe (Sistema Único de Informações de Benefícios) e paralisou temporariamente a produção de estatísticas da Previdência Social.

A exposição de informações decorreu da ausência de controle das senhas liberadas para usuários externos aos Suibe ao longo das últimas décadas.

Esses usuários externos eram, geralmente, representantes de outros órgãos da administração pública, mas o INSS nunca reviu as autorizações de acesso -ou seja, muitos mantiveram as senhas mesmo após saírem de seus respectivos cargos.

O INSS nunca confirmou o número exato de senhas acumuladas, mas a estimativa é de que tenham sido centenas.

O Suibe não permite conceder novos benefícios, mas contém informações de todos aqueles já deferidos, inclusive dados cadastrais dos beneficiários, espécie do benefício (se é uma aposentadoria ou auxílio-doença, por exemplo), valor devido e data de concessão, entre outros.

Nas mãos de criminosos, esse repositório se converte em um ativo valioso para direcionar potenciais ações fraudulentas, como contratação irregular de empréstimos consignados.

Hoje, esse é um dos focos de investigação de autoridades após as revelações da Operação Sem Desconto, deflagrada em abril de 2025 para apurar descontos fraudulentos de mensalidades associativas, feitos sem autorização dos beneficiários. Ao longo das investigações, também foram detectadas irregularidades na contratação dos empréstimos, que passaram por um aperto nas regras.