INSS confirma exposição de dados de até 40 milhões de segurados.
Cadastro de aposentados e pensionistas teve segurança
reforçada
Cerca de 40 milhões de aposentados e pensionistas tiveram
dados cadastrais expostos por meio de acessos sem controle, confirmou em nota o
Instituto Nacional do Seguro Social (INSS). O problema ocorreu por décadas por
meio de logins de servidores públicos de órgãos externos ao INSS que se
aposentaram, foram exonerados ou pediram demissão.
O problema, ressaltou o órgão, não causou prejuízos aos
cofres públicos porque o Sistema Único de Informações de Benefícios (Suibe) não
é usado para liberar benefícios. O sistema apenas armazena dados dos
beneficiários como nome, Cadastro de Pessoa Física (CPF), tipo de benefício
(aposentadoria, pensão, salário-maternidade, auxílios e Benefício de Prestação
Continuada), data de concessão e valor recebido.
Segundo o INSS, em gestões anteriores, foram distribuídas
senhas a outros órgãos federais para o ingresso ao sistema. A distribuição era
feita a órgãos de controle, como a Controladoria-Geral da União, e à
Advocacia-Geral da União, para a defesa do governo em ações judiciais. No
entanto, não havia monitoramento para as senhas. O acesso era feito apenas com
login e senha, sem camadas de segurança como autenticação de duplo fator,
certificado digital e criptografia.
Após os servidores de órgãos externos deixarem as funções, os
logins e as senhas continuavam válidos, podendo cair nas mãos de hackers,
fraudadores ou criminosos. Um dos possíveis usos das senhas externas é a venda
de dados a financeiras que oferecem crédito consignado a beneficiários. Outra
possibilidade é que criminosos, de posse dos dados, tenham pedido crédito
especial no nome do segurado do INSS.
Medidas
No comunicado, o INSS informou que a Dataprev, órgão que
desenvolveu a solução tecnológica do Suibe, detectou um aumento no fluxo de
pedidos de informações ao sistema. As senhas externas foram suspensas
imediatamente, e o governo criou um protocolo para a concessão de acessos por
outros órgãos federais. O acesso externo agora exigirá certificado digital e
criptografia.
“Um servidor de alguns dos órgãos que têm acesso ao Suibe se
aposenta ou passa em outro concurso e detém a senha. Ele não era
‘descadastrado’. Agora, com a certificação digital e a criptografia, quem tiver
a posse da senha ficará sem acesso”, destacou o INSS na nota.
O INSS informou que ainda está levantando o impacto da
exposição de dados dos beneficiários e verificar se, de fato, houve vazamento
de informações. Somente após a conclusão das análises, o caso será encaminhado
à Polícia Federal.
“O Suíbe foi o primeiro sistema extrator de dados do INSS que
teve o fluxo de acesso alterado pelas novas regras de segurança tecnológica,
que estão sendo renovadas em 2024. Os sistemas que geram a concessão de
benefícios já estão com a nova camada de segurança”, destaca o comunicado.
Paralisação de estatísticas
Antes de acrescentar camadas de segurança ao Suibe, o INSS
desligou o sistema no início de maio. A desativação temporária paralisou a
produção de estatísticas, como o Boletim Estatístico da Previdência Social
(Beps).
Com informações detalhadas sobre a concessão e o pagamento de
benefícios, o Beps é feito com base nos dados do Suibe. A edição mais recente
do relatório foi produzida em fevereiro deste ano.
Agência Brasil
Nenhum comentário