Aproximadamente 40 milhões de aposentados e pensionistas tiveram seus dados cadastrais acessados sem autorização, conforme divulgado em comunicado. Essa situação aconteceu ao longo de várias décadas por meio de login de servidores públicos de entidades externas ao INSS que se aposentaram, foram exonerados ou se desligaram.
É importante ressaltar que, de acordo com o órgão, não houve danos financeiros aos cofres públicos, uma vez que o Sistema Único de Informações de Benefícios (Suibe) não é utilizado para liberar benefícios. O sistema apenas mantém registros dos beneficiários, contendo informações como nome, CPF, tipo de benefício (aposentadoria, pensão, salário-maternidade, auxílios e Benefício de Prestação Continuada), data de concessão e valor recebido.
De acordo com informações divulgadas pelo INSS, em administrações passadas, foram repassadas senhas para outros órgãos do governo federal acessarem o sistema. Essas senhas eram concedidas a entidades de supervisão, como a Controladoria-Geral da União, e à Advocacia-Geral da União, para representar o governo em processos judiciais. No entanto, não havia um sistema de controle para monitorar o uso dessas senhas. O acesso era concedido apenas por meio de login e senha, sem a implementação de medidas de segurança adicionais, como autenticação de dois fatores, certificado digital e criptografia.
Após os servidores dos órgãos externos deixarem seus cargos, os logins e senhas continuavam sendo válidos, o que poderia resultar na exposição dessas credenciais a hackers, fraudadores ou criminosos. Um dos usos potenciais dessas senhas externas seria a comercialização dos dados a empresas financeiras que oferecem crédito consignado a beneficiários. Outra possibilidade seria criminosos, com acesso aos dados, solicitarem crédito em nome dos segurados do INSS.
Medidas
No comunicado, o INSS informou que a Dataprev, órgão que desenvolveu a solução tecnológica do Suibe, detectou um aumento no fluxo de pedidos de informações ao sistema. As senhas externas foram suspensas imediatamente, e o governo criou um protocolo para a concessão de acessos por outros órgãos federais. O acesso externo agora exigirá certificado digital e criptografia.
“Um servidor de alguns dos órgãos que têm acesso ao Suibe se aposenta ou passa em outro concurso e detém a senha. Ele não era ‘descadastrado’. Agora, com a certificação digital e a criptografia, quem tiver a posse da senha ficará sem acesso”, destacou o INSS na nota.
O INSS informou que ainda está levantando o impacto da exposição de dados dos beneficiários e verificar se, de fato, houve vazamento de informações. Somente após a conclusão das análises, o caso será encaminhado à Polícia Federal.
“O Suíbe foi o primeiro sistema extrator de dados do INSS que teve o fluxo de acesso alterado pelas novas regras de segurança tecnológica, que estão sendo renovadas em 2024. Os sistemas que geram a concessão de benefícios já estão com a nova camada de segurança”, destaca o comunicado.
Paralisação de estatísticas
Antes de acrescentar camadas de segurança ao Suibe, o INSS desligou o sistema no início de maio. A desativação temporária paralisou a produção de estatísticas, como o Boletim Estatístico da Previdência Social (Beps).
Com informações detalhadas sobre a concessão e o pagamento de benefícios, o Beps é feito com base nos dados do Suibe. A edição mais recente do relatório foi produzida em fevereiro deste ano.
