Cerca de 40 milhões de aposentados e pensionistas foram afetados por uma exposição de dados causada por acessos indesejados ao Sistema Único de Informações de Benefícios (Suibe). O incidente, que chamou atenção devido à quantidade massiva de dados acessíveis, ocorreu por falhas no controle de logins, utilizados por servidores públicos de órgãos externos ao Instituto Nacional do Seguro Social (INSS).
Essa vulnerabilidade vem se estendendo por décadas, segundo relatos. Servidores que deixaram seus cargos públicos ainda mantinham acesso aos dados através de suas senhas antigas, gerando uma brecha de segurança que poderia facilmente ser explorada por cibercriminosos. O INSS, contudo, afirma que não houve prejuízos financeiros aos cofres públicos, já que o Suibe não é utilizado para processar pagamentos diretamente.
Como os Dados dos Beneficiários eram Acessados?
Anteriormente, a administração do INSS fornecia senhas aos órgãos federais para acessar o sistema. Essa prática era comum entre órgãos de controle como a Controladoria-Geral da União e a Advocacia-Geral da União, que usavam os dados para defender o governo em ações judiciais. No entanto, a segurança desses logins deixava a desejar, pois não contava com mecanismos robustos como autenticação de duplo fator ou criptografia.
Quais Medidas de Segurança Foram Adotadas?
Com a finalidade de reformar o processo e garantir a segurança dos dados dos beneficiários, o INSS, em parceria com a Dataprev – responsável pela parte tecnológica –, intensificou a segurança ao bloquear as senhas que eram dadas a funcionários de outros órgãos federais. A partir de agora, o acesso ao Suibe exige não apenas credenciais mais fortificadas, mas também o uso de certificados digitais e criptografia avançada.
Dados Expostos, e Agora?
Após detectar o aumento no fluxo de solicitações de acessos ao Suibe que sugeriam uma análise e possível exposição, o INSS está conduzindo uma investigação detalhada para entender o impacto da exposição dos dados. Até o momento, não foi confirmado nenhum vazamento efetivo de informações, mas o INSS já adiantou que, se necessário, encaminhará o caso à Polícia Federal para as providências cabíveis.
Além do esclarecimento dos fatos e da implementação de novas políticas de segurança, houve uma paralisação no fornecimento de estatísticas oficiais. O INSS teve de desativar temporariamente o Suibe, afetando a produção de relatórios como o Boletim Estatístico da Previdência Social (Beps), fundamental para o monitoramento de concessões e pagamentos de benefícios. Embora os benefícios propriamente ditos não tenham sido afetados, a transparência e a segurança das informações tornaram-se uma enorme preocupação para a administração pública.
Estas ações refletem a crescente necessidade de sistemas secure-by-design que possam proteger informações sensíveis contra ameaças crescentes no cenário digital. A expectativa é que tais medidas minimizem riscos futuros e restabeleçam a confiança dos beneficiários nos protocolos de segurança da informação do INSS.