Cerca de 40 milhões de aposentados e pensionistas tiveram dados cadastrais expostos por meio de acessos sem controle, confirmou em nota o Instituto Nacional do Seguro Social (INSS). O problema ocorreu por décadas por meio de logins de servidores públicos de órgãos externos ao INSS que se aposentaram, foram exonerados ou pediram 

De acordo com o instituto, um aumento no volume de solicitações de informações de segurados “acionou um alerta”. Ao examinar esse fenômeno, o INSS identificou falhas no controle de acesso ao sistema, atribuídas a gestões anteriores do governo federal. Segundo um membro do Instituto, era comum que membros da administração federal deixassem seus cargos ou falecessem, e suas senhas continuassem ativas. O presidente do INSS, Alessandro Stefanutto, ordenou a revogação desses acessos. 

Entre janeiro e março, a média mensal de reclamações sobre empréstimos consignados superou 900. Após a revogação das senhas, em maio, esse número caiu para pouco mais de 400. Em comunicado à imprensa, o INSS informou que, com o aumento das solicitações de informações, identificado pelas equipes de monitoramento do instituto e do Dataprev, a política de segurança do sistema Suíbe foi atualizada. “Agora, é necessário usar certificado digital e criptografia para acessar o sistema”, diz a nota. O INSS acredita que, mesmo com as senhas, “falsários” não conseguirão invadir o sistema. 

O problema, ressaltou o órgão, não causou prejuízos aos cofres públicos porque o Sistema Único de Informações de Benefícios (Suibe) não é usado para liberar benefícios. O sistema apenas armazena dados dos beneficiários como nome, CPF, tipo de benefício (aposentadoria, pensão, salário-maternidade, auxílios e Benefício de Prestação Continuada), data de concessão e valor recebido. 

Segundo o INSS, em gestões anteriores, foram distribuídas senhas a outros órgãos federais para o ingresso ao sistema. A distribuição era feita a órgãos de controle, como a Controladoria-Geral da União, e à Advocacia-Geral da União, para a defesa do governo em ações judiciais. No entanto, não havia monitoramento para as senhas. O acesso era feito apenas com login e senha, sem camadas de segurança como autenticação de duplo fator, certificado digital e criptografia.  

Após os servidores de órgãos externos deixarem as funções, os logins e as senhas continuavam válidos, podendo cair nas mãos de hackers, fraudadores ou criminosos. Um dos possíveis usos das senhas externas é a venda de dados a financeiras que oferecem crédito consignado a beneficiários. Outra possibilidade é que criminosos, de posse dos dados, tenham pedido crédito especial no nome do segurado do INSS.   

Embora reconheça a exposição dos dados, o instituto afirma que suas equipes ainda estão investigando para determinar se houve vazamento.