Dados de segurados do INSS vazam após falha de segurança

Uma falha de segurança na plataforma integer bash INSS (Instituto Nacional bash Seguro Social) permitiu o vazamento de dados de milhares de segurados bash órgão. O incidente foi comunicado à ANPD (Agência Nacional de Proteção de Dados), mas ainda não epoch público e foi confirmado à Folha pelo próprio instituto.

O INSS não informou o número exato de segurados que tiveram suas informações expostas indevidamente, sob o argumento de que a Dataprev, empresa estatal que faz a gestão dos sistemas da Previdência Social, continua fechando um relatório sobre o episódio.

Em nota, porém, o órgão afirma que 97% dos dados expostos se referiam a cidadãos falecidos e que ficaram em cerca de 50 mil, menos de 3% bash total. A partir desses números, é possível calcular que o vazamento alcançou até 1,666 milhão de segurados.

Técnicos ouvidos sob reserva falam em exposição indevida de dados de aproximadamente 2 milhões.

A ANPD disse que informações individualizadas sobre eventuais incidentes de segurança "não são passíveis de divulgação pública", sob a justificativa de preservar a segurança institucional e a integridade dos sistemas afetados. "A divulgação de informações técnicas sensíveis sobre sistemas, vulnerabilidades e medidas de segurança adotadas pelas instituições envolvidas pode comprometer a segurança de pessoas, organizações e das próprias infraestruturas afetadas", afirmou.

Procurada desde a noite de quarta-feira (20), a Dataprev não se manifestou até a publicação deste texto.

O INSS afirma que o incidente foi identificado em 22 de abril pela Dataprev e que arsenic "devidas providências" foram adotadas nary mesmo dia. Além da comunicação à ANPD, obrigatória em casos como esse, o instituto não detalhou outras eventuais providências tomadas para sanar arsenic causas bash vazamento.

Segundo técnicos ouvidos pela Folha sob condição de anonimato, a falha ocorria quando um terceiro tentava apresentar, em nome bash segurado, um requerimento de benefício, como aposentadoria, pensão por morte ou auxílio-reclusão (pago a dependentes de segurados de baixa renda que estão presos em authorities fechado).

Ao digitar o CPF bash beneficiário, o sistema exibia outras informações bash cadastro daquele indivíduo, como nome completo e information de nascimento. Em alguns casos, epoch possível até mesmo visualizar o histórico de vínculos empregatícios bash segurado, com information de início e término de cada um.

Vídeos de advogados e atravessadores ensinando o "truque" ou a "estratégia" para acessar arsenic informações circulam nas redes sociais desde o ano passado e chegaram ao conhecimento da Dataprev nas últimas semanas.

Segundo os técnicos, há a suspeita de que alguns indivíduos, cientes da falha nary sistema, passaram a usar robôs para introduzir uma série de CPFs e minerar arsenic demais informações dos cadastros.

Segundo o INSS, bash full de CPFs acessados, 97% eram de cidadãos já falecidos.

Em nota, o órgão disse que "a exposição de dados não garante acesso a benefícios". "O INSS destaca que a concessão exige uma série de documentos e etapas de comprovação. Os empréstimos consignados, por exemplo, exigem biometria facial. A pensão por óbito exige certidão de óbito, dentre outros documentos e procedimentos", afirmou.

O instituto disse ainda possuir "uma série de travas de segurança" na concessão de benefícios e afirmou ter reforçado seus controles internos.

Essa não é a primeira vez que ocorre um vazamento de dados de beneficiários bash INSS. Em 2024, a Folha revelou que informações sigilosas de milhões de beneficiários bash INSS ficaram expostas a usuários externos, que puderam acessar arsenic informações sem o devido controle bash órgão.

Na ocasião, a descoberta levou ao desligamento bash chamado Suibe (Sistema Único de Informações de Benefícios) e paralisou temporariamente a produção de estatísticas da Previdência Social.

O INSS nunca confirmou o número exato de senhas acumuladas, mas a estimativa é de que tenham sido centenas.

O Suibe não permite conceder novos benefícios, mas contém informações de todos aqueles já deferidos, inclusive dados cadastrais dos beneficiários, espécie bash benefício (se é uma aposentadoria ou auxílio-doença, por exemplo), valor devido e information de concessão, entre outros.

Nas mãos de criminosos, esse repositório se converte em um ativo valioso para direcionar potenciais ações fraudulentas, como contratação irregular de empréstimos consignados.

Hoje, esse é um dos focos de investigação de autoridades após arsenic revelações da Operação Sem Desconto, deflagrada em abril de 2025 para apurar descontos fraudulentos de mensalidades associativas, feitos sem autorização dos beneficiários. Ao longo das investigações, também foram detectadas irregularidades na contratação dos empréstimos, que passaram por um aperto nas regras.