Uma falha de segurança na plataforma digital do INSS (Instituto Nacional do Seguro Social) permitiu a exposição indevida de dados de segurados do órgão. O incidente foi comunicado à ANPD (Agência Nacional de Proteção de Dados) e confirmado pelo próprio instituto, embora ainda não tivesse sido divulgado oficialmente.
O INSS não informou o número exato de pessoas afetadas, alegando que a Dataprev, estatal responsável pela gestão dos sistemas da Previdência Social, ainda finaliza um relatório técnico sobre o episódio. Em nota, porém, o instituto informou que 97% dos dados expostos pertenciam a cidadãos já falecidos. Segundo o órgão, os casos envolvendo segurados vivos ficaram em cerca de 50 mil, o que representa menos de 3% do total.
Com base nesses números, a estimativa é de que o vazamento possa ter atingido até 1,666 milhão de segurados. Técnicos ouvidos sob condição de anonimato afirmam que a exposição indevida pode ter alcançado aproximadamente 2 milhões de registros.
A ANPD declarou que informações detalhadas sobre incidentes de segurança não podem ser divulgadas publicamente para preservar a integridade dos sistemas afetados e evitar novos riscos. Segundo a agência, a exposição de informações técnicas sensíveis pode comprometer a segurança institucional e das pessoas envolvidas.
O INSS informou que a falha foi identificada pela Dataprev em 22 de abril e que providências foram adotadas no mesmo dia. O instituto, no entanto, não detalhou quais medidas técnicas foram implementadas para corrigir o problema.
De acordo com técnicos ouvidos pela reportagem, a vulnerabilidade ocorria quando terceiros tentavam protocolar pedidos de benefícios em nome de segurados, como aposentadoria, pensão por morte ou auxílio-reclusão. Ao inserir o CPF do beneficiário, o sistema exibia informações adicionais, incluindo nome completo, data de nascimento e, em alguns casos, histórico de vínculos empregatícios.
Vídeos ensinando como explorar a falha passaram a circular nas redes sociais desde o ano passado. Segundo os relatos, o conteúdo chegou ao conhecimento da Dataprev nas últimas semanas.
Há ainda suspeitas de que pessoas tenham utilizado robôs automatizados para inserir grandes quantidades de CPFs no sistema e coletar informações cadastrais de segurados.
Em nota, o INSS afirmou que a exposição de dados não garante acesso automático a benefícios previdenciários. O órgão destacou que a concessão exige documentação específica e etapas adicionais de verificação, como biometria facial para empréstimos consignados e certidões oficiais em casos de pensão por morte.
O instituto declarou ainda possuir mecanismos de segurança adicionais e afirmou ter reforçado os controles internos após a identificação da falha.
Esse não é o primeiro caso de exposição de dados envolvendo o INSS. Em 2024, informações sigilosas de milhões de beneficiários ficaram acessíveis a usuários externos por meio do Suibe (Sistema Único de Informações de Benefícios), levando à suspensão temporária do sistema.
Na ocasião, a falha ocorreu devido à ausência de controle sobre senhas concedidas a usuários externos ao longo de décadas. Muitos acessos permaneceram ativos mesmo após a saída de servidores e representantes de órgãos públicos de suas funções.
O Suibe reúne dados detalhados sobre benefícios previdenciários já concedidos, incluindo informações cadastrais, valores pagos e datas de concessão. Segundo as investigações, esse tipo de informação pode ser utilizado por criminosos para fraudes, especialmente na contratação irregular de empréstimos consignados.
As suspeitas sobre fraudes em consignados também fazem parte das apurações da Operação Sem Desconto, deflagrada em abril de 2025 para investigar descontos associativos realizados sem autorização dos beneficiários do INSS.