Recentemente, milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) tiveram seus dados pessoais expostos devido a vulnerabilidades de segurança, permitindo acessos não autorizados às suas informações.
Esta grave falha de segurança levou à interrupção do Suibe (Sistema Único de Informações de Benefícios) no início de maio, impactando a produção de estatísticas da Previdência Social.
O presidente do INSS, Alessandro Stefanutto, confirmou que o órgão descobriu a existência de centenas de senhas externas acumuladas ao longo dos anos, sem revisão adequada dos acessos, o que resultou na exposição de dados sensíveis dos beneficiários. Confira mais detalhes sobre esta exposição a seguir!
Interrupção do Sistema do INSS
A descoberta levou à desativação do Suibe (Sistema Único de Informações de Benefícios) no início de maio, interrompendo a produção de estatísticas da Previdência Social.
O presidente do INSS, Alessandro Stefanutto, confirmou que o órgão havia acumulado centenas de senhas externas ao longo dos anos sem revisar os acessos, expondo dados sensíveis dos beneficiários.
Dados Sensíveis e Vulneráveis
O Suibe não concede novos benefícios, mas armazena informações detalhadas sobre benefícios existentes, incluindo dados cadastrais, tipo de benefício, valor e data de concessão. Esses dados são cruciais para a elaboração do Beps (Boletim Estatístico da Previdência Social), com a última edição disponível datada de fevereiro de 2024.
Risco de Fraude do INSS
Nas mãos de criminosos, esses dados podem ser utilizados para fraudes. O INSS afirma não ter evidências concretas de vazamento de dados do Suibe, mas há um histórico de beneficiários recebendo ofertas de produtos financeiros antes de serem oficialmente notificados pelo INSS, sugerindo possível acesso não autorizado aos dados.
Falta de Controle de Acesso
Usuários externos do Suibe incluem servidores de outros ministérios e representantes de órgãos que utilizam informações da Previdência Social. A falta de controle sobre a revogação de senhas de usuários que deixaram seus cargos foi identificada como um problema significativo. Os acessos eram feitos apenas com usuário e senha, sem autenticação de dois fatores ou uso de VPN, tornando o sistema vulnerável.
Governança Frágil
A governança inadequada deixou as informações de 39,5 milhões de beneficiários expostas. Stefanutto tomou medidas para suspender todos os acessos externos e reorganizar a gestão das credenciais.
Medidas de Segurança Implementadas pelo INSS
A tecnologia do Suibe é fornecida pela Dataprev, que redirecionou perguntas sobre o sistema ao INSS. O órgão agora exige acesso via VPN e certificado digital emitido pelo Serpro. Apenas 11 acessos foram autorizados, distribuídos entre a Polícia Federal, CGU, TCU e os ministérios do Desenvolvimento Social e Agricultura.
Novas políticas foram implementadas para garantir que, quando um usuário sair de um órgão, suas credenciais sejam desativadas tanto internamente quanto externamente. Além disso, o INSS passou a exigir o uso de certificados digitais para o acesso ao sistema, aumentando a segurança dos dados.
O incidente destaca a importância de um controle rigoroso sobre acessos a sistemas sensíveis. A falha no INSS evidencia a necessidade de revisões periódicas e de políticas robustas de segurança para proteger dados pessoais e prevenir fraudes.
