Falha no INSS expõe dados de até 1,6 milhão de segurados

247 - Uma falha no sistema digital do INSS (Instituto Nacional do Seguro Social) expôs dados de até 1,6 milhão de segurados, incluindo CPFs, nomes, datas de nascimento e, em alguns casos, histórico de vínculos empregatícios. As informações são da Folha de S.Paulo.

O incidente foi identificado pela Dataprev em 22 de abril e comunicado à ANPD (Agência Nacional de Proteção de Dados), mas ainda não havia sido tornado público. O caso foi confirmado pelo próprio INSS à Folha.

O instituto não informou o número exato de segurados atingidos, sob o argumento de que a Dataprev ainda finaliza um relatório sobre o episódio. Em nota, o órgão afirmou que 97% dos dados expostos pertenciam a cidadãos já falecidos. Os casos envolvendo pessoas sem registro de óbito, ou seja, segurados vivos, ficaram em torno de 50 mil, menos de 3% do total.

A partir desses percentuais, é possível estimar que o vazamento tenha alcançado até 1,666 milhão de segurados. Técnicos ouvidos sob reserva pela Folha falam em exposição indevida de dados de aproximadamente 2 milhões de pessoas.

A ANPD afirmou que informações individualizadas sobre incidentes de segurança “não são passíveis de divulgação pública”, sob o argumento de proteger a segurança institucional e a integridade dos sistemas afetados.

“A divulgação de informações técnicas sensíveis sobre sistemas, vulnerabilidades e medidas de segurança adotadas pelas instituições envolvidas pode comprometer a segurança de pessoas, organizações e das próprias infraestruturas afetadas”, declarou a agência.

Procurada desde a noite de quarta-feira (20), a Dataprev não havia se manifestado até a publicação da reportagem original. O INSS disse que as “devidas providências” foram adotadas no mesmo dia em que o problema foi identificado, mas não detalhou quais medidas foram tomadas além da comunicação formal à ANPD.

De acordo com técnicos ouvidos pela Folha sob condição de anonimato, a falha aparecia quando um terceiro tentava apresentar, em nome de um segurado, um requerimento de benefício previdenciário, como aposentadoria, pensão por morte ou auxílio-reclusão.

Ao inserir o CPF do beneficiário, o sistema passava a exibir outras informações do cadastro, como nome completo e data de nascimento. Em alguns casos, também era possível consultar o histórico de vínculos empregatícios, com datas de início e encerramento de cada relação de trabalho.

Vídeos de advogados e atravessadores ensinando o chamado “truque” ou “estratégia” para acessar essas informações circulam nas redes sociais desde o ano passado. Segundo a reportagem, o conteúdo chegou ao conhecimento da Dataprev nas últimas semanas.

Há suspeita, segundo técnicos, de que pessoas cientes da vulnerabilidade tenham utilizado robôs para inserir listas de CPFs no sistema e extrair outras informações dos cadastros. Esse tipo de prática amplia o alcance de uma falha pontual e pode transformar dados previdenciários em insumos para fraudes.

O INSS afirmou que a exposição de dados não significa acesso automático a benefícios. “O INSS destaca que a concessão exige uma série de documentos e etapas de comprovação. Os empréstimos consignados, por exemplo, exigem biometria facial. A pensão por óbito exige certidão de óbito, dentre outros documentos e procedimentos”, informou o órgão.

O instituto também declarou possuir “uma série de travas de segurança” no processo de concessão de benefícios e disse ter reforçado seus controles internos após o episódio.

O caso ocorre em meio a um histórico recente de problemas envolvendo dados de beneficiários do INSS. Em 2024, a Folha revelou que informações sigilosas de milhões de pessoas ficaram acessíveis a usuários externos sem controle adequado do órgão. Na ocasião, a descoberta levou ao desligamento do Suibe (Sistema Único de Informações de Benefícios), o que paralisou temporariamente a produção de estatísticas da Previdência Social.

A exposição anterior foi atribuída à falta de revisão de senhas concedidas ao longo de décadas a usuários externos, geralmente representantes de outros órgãos da administração pública. Muitas autorizações teriam permanecido ativas mesmo após esses usuários deixarem seus cargos.

Embora o Suibe não permita conceder novos benefícios, o sistema reúne dados de benefícios já aprovados, como informações cadastrais, espécie do benefício, valor devido e data de concessão. Nas mãos de criminosos, esse conjunto de informações pode ser usado para direcionar fraudes, incluindo contratações irregulares de empréstimos consignados.

Esse tipo de irregularidade está no centro das investigações abertas após a Operação Sem Desconto, deflagrada em abril de 2025 para apurar descontos fraudulentos de mensalidades associativas feitos sem autorização de beneficiários. Ao longo das apurações, também foram identificados problemas na contratação de empréstimos consignados, o que levou ao endurecimento das regras.