Dados pessoais de milhões de beneficiários foram vazados, devido à falta de segurança do INSS (Instituto Nacional do Seguro Social), permitindo que usuários externos pudessem acessar as informações sem o devido controle do órgão.
Por conta disso, o Suibe (Sistema Único de Informações de Benefícios) teve de ser desativado no início de maio, interrompendo a produção de estatísticas da Previdência Social.
A vulnerabilidade do sistema foi confirmada à Folha pelo presidente do INSS, Alessandro Stefanutto. E segundo ele, o instituto criou uma centenas de senhas — o número exato não foi divulgado — concedidas a usuários externos ao longo das últimas décadas, sem nunca revisar as autorizações desses acessos.
Confira mais detalhes dessa preocupante notícia a seguir!
Vazamento por falta de segurança de dados do INSS
Embora o Suibe não permita a concessão de novos benefícios, ele contém informações de todos os segurados, incluindo dados cadastrais dessas pessoas, como o benefício que recebem (aposentadoria ou auxílio-doença, por exemplo), valor pago por benefício, data de concessão, entre outros.
Esta é a principal plataforma usada para a produção do Beps (Boletim Estatístico da Previdência Social), um relatório mensal que detalha as concessões e emissões de benefícios pagos pelo INSS nos últimos anos. A edição mais recente disponível é de fevereiro de 2024.
Nas mãos das pessoas erradas, esse programa valioso pode ser usado para realização de fraudes.
Dados valiosos
O INSS afirma, contudo, que até o momento, não tem provas concretas de que realmente houve vazamento de dados através do Suibe, mas que o órgão acumula um histórico de reclamações de segurados que souberam da concessão do benefício por meio de terceiros.
Há relatos de instituições financeiras que entram em contato para oferecer produtos, como empréstimos consignados, antes mesmo do beneficiário receber o primeiro pagamento do INSS.
“Uma fonte de vazamento, provavelmente, era lá, porque as pessoas roubam a senha dos outros. Alguém também decidiu ceder ao crime organizado. Daí vende isso para as financeiras, provavelmente. Por isso o cara liga para vender empréstimo consignado. Arranjou o telefone, arranjou tudo, porque lá tem dados cadastrais das pessoas”, afirma Stefanutto.
O presidente acredita na relação das reclamações com o Suibe, pois as reclamações na ouvidoria envolvendo empréstimo consignado caíram para 405 em maio. Entre janeiro e março, a média foi de 943 registros de ocorrência por mês. Em abril, o número já havia recuado para 553.
Quem tinha acesso ao sistema
Usuários externos do Suibe, são, na verdade, servidores de outros ministérios ou representantes de órgãos que utilizam as informações da Previdência para desenvolver alguma tarefa — como, por exemplo, a AGU (Advocacia-Geral da União) que recorre ao sistema para obter subsídios e defender a União em ações judiciais.
O problema, de acordo com o presidente do INSS, é que não havia controle para garantir a anulação das senhas do usuário que deixasse o órgão ou a administração pública, por aí se deu a falta de segurança dados do INSS.
Os acessos eram realizados apenas através de entrada simples de usuário e senha, sem duplo fator de autenticação ou uso de VPN (ferramenta que limita o acesso a usuários de uma mesma rede privada, mais segura).
Embora o responsável original da credencial não tenha a intenção de fazer mau uso do acesso, a conclusão do INSS é que a administração desses dados era frágil, deixando vulneráveis as informações de 39,5 milhões de beneficiários.
“Eu achava, honestamente, que isso estava numa governança melhor. Não quer dizer, porque você tem um portão aberto, que a casa vai ser roubada. Mas pode ser mais roubada do que com o portão fechado. O que eu fiz foi fechar o portão. Mandei suspender todos [os usuários externos]. Tirei da tomada, falei ‘reorganizem'”, afirma Stefanutto.