Vazamento de dados do INSS atingiu 2,8 milhões de CPFs, afirma Dataprev
Falha de segurança expôs informações de beneficiários; cerca de 98% dos registros pertenciam a pessoas falecidas
Um incidente de segurança nos sistemas da Dataprev expôs os dados cadastrais de 2,8 milhões de pessoas inscritas no Cadastro de Pessoas Físicas (CPF) associados ao Instituto Nacional do Seguro Social (INSS). O vazamento, ocorrido em abril e provocado por uma falha de autenticação na plataforma Meu INSS, atingiu majoritariamente cidadãos falecidos, além de expor a data de nascimento de 52 mil segurados ativos.
O volume consolidado pela Dataprev superou as estimativas iniciais divulgadas na semana anterior, quando técnicos do governo federal projetavam o comprometimento de cerca de 2 milhões de registros. A apuração detalhada apontou que 98% dos CPFs consultados indevidamente pertenciam a cidadãos já falecidos, revelando que a falha de segurança esteve ativa por apenas um único dia antes de ser neutralizada.
Além dos dados de óbito, o incidente também comprometeu as informações de 52 mil beneficiários vivos, os quais tiveram datas de nascimento expostas na brecha de segurança. Este não é o primeiro incidente de segurança registrado nos sistemas que gerenciam a previdência pública brasileira recentemente.
No início de 2024, o INSS confirmou a existência de outra vulnerabilidade em suas ferramentas que também deixou vulneráveis as informações sigilosas de milhões de cidadãos que recebem aposentadorias ou benefícios assistenciais. Especialistas em segurança digital apontam que a recorrência de episódios dessa natureza acende alertas sobre a infraestrutura tecnológica do Estado brasileiro frente ao aumento de tentativas de acessos automatizados e extração massiva de dados.
Durante reunião do Conselho Nacional da Previdência Social, o representante da Dataprev, Edmar dos Santos Ferreira Junior, esclareceu as causas técnicas que propiciaram o acesso indevido às informações. Segundo o porta-voz, o erro decorreu de uma consulta de serviço integrada ao aplicativo Meu INSS que aceitava requisições sem exigir a devida autenticação por login, operando como se estivesse em um ambiente público.
"Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você tivesse em um ambiente público", detalhou o representante da estatal. Apesar da gravidade da exposição dos dados cadastrais, a autarquia federal assegurou que o vazamento não compromete diretamente a integridade dos pagamentos nem facilita fraudes imediatas de benefícios.
De acordo com o INSS, a concessão de empréstimos consignados ou de pensões por morte exige uma série rigorosa de validações de documentos e travas internas de controle que independem apenas do número do CPF. Contudo, órgãos de defesa do consumidor ressaltam que a exposição de dados de nascimento de cidadãos ativos facilita tentativas de engenharia social e golpes direcionados contra a população idosa.
Como medida de contingência imediata, a Dataprev desativou a interface vulnerável assim que identificou a falha de programação e iniciou uma atualização profunda em toda a estrutura de barramento de dados. A nova versão do sistema prevê a implementação de travas que restringirão as consultas, permitindo que apenas um usuário realize a pesquisa de um CPF de forma individualizada por vez.