Dados de 39,5 milhões de beneficiários do INSS foram expostos e acessados sem controle

Dados sigilosos de cerca de 39,5 milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) ficaram expostos a pessoas que não são do órgão. O vazamento ocorreu devido ao instituto ceder centenas de senhas a usuários externos ao longo das últimas décadas e nunca revogar o acesso dessas pessoas quando elas se desvincularam. Após a descoberta, foi feito o desligamento do chamado Suibe (Sistema Único de Informações de Benefícios), que paralisou a produção de estatísticas da Previdência Social. 

A vulnerabilidade do sistema foi confirmada à Folha pelo presidente do INSS, Alessandro Stefanutto, que não informou o número exato de senhas de acesso que estavam disponibilizadas. O Suibe é uma ferramenta que não permite conceder novos benefícios, mas contém informações de todos aqueles já existentes. Inclusive, dados cadastrais dos beneficiários, tipo de benefício, valor devido e data de concessão, entre outros. Por meio do Suibe ocorre a produção do Beps (Boletim Estatístico da Previdência Social), relatório mensal detalhado das concessões e emissões de benefícios pagos pelo INSS. A edição mais recente disponível é de fevereiro de 2024.

Caso caia na mão de criminosos, esses dados podem direcionar potenciais ações fraudulentas. Apesar do INSS informar não ter provas concretas sobre o vazamento de dados do Suibe, o órgão acumula diversas reclamações de segurados que tiveram informações sobre benefícios repassadas a terceiros. Há relatos de instituições que entram em contato para oferecer produtos financeiros, como empréstimo consignado, antes mesmo de o beneficiário receber do INSS o comunicado oficial sobre a concessão.

Após o desligamento do Suibe, as reclamações na ouvidoria envolvendo dados sobre empréstimo consignado caíram no mês de maio, quando a ferramenta foi paralisada. Entre janeiro e março, a média foi de 943 registros de ocorrência por mês. Em abril, o número já havia recuado a 553. Em maio, caiu para 405.

Usuários externos

Em sua maioria, os usuários externos do Suibe são servidores de outros ministérios ou representantes de órgãos que utilizam as informações da Previdência para desenvolver alguma tarefa. O problema, conforme o presidente do INSS, é que não havia o controle para retirar o acesso do usuário que deixasse o órgão ou a administração pública. Essas pessoas tinham facilidade em entrar no sistema, pois não era necessário  o duplo fator de autenticação nem uso de VPN (ferramenta que limita o acesso a usuários de uma mesma rede privada, mais segura).

Mesmo que os usuários externos não usassem as informações para atos criminosos, a conclusão do INSS é que os dados eram frágeis, deixando vulneráveis as informações dos 39,5 milhões de beneficiários.

“Eu achava, honestamente, que isso estava numa governança melhor. Não quer dizer, porque você tem um portão aberto, que a casa vai ser roubada. Mas pode ser mais roubada do que com o portão fechado. O que eu fiz foi fechar o portão. Mandei suspender todos [os usuários externos]. Tirei da tomada, falei 'reorganizem’”, afirma Stefanutto.

A solução tecnológica do Suibe é fornecida pela Dataprev, empresa de tecnologia do governo federal. Procurada, ela disse que “informações sobre o Suibe devem ser solicitadas ao INSS, órgão gestor do sistema”. Além disso, o INSS não sabe informar quais informações e de quais beneficiários os usuários externos acessaram. O monitoramento é feito pelo volume de dados extraídos. Quando esse volume é muito elevado, o sistema dispara um alerta, e o endereço IP é bloqueado.

O órgão percebeu a exposição quando foi informado que um IP havia puxado centenas de dados e, devido a isso, foi bloqueado. Ao verificar a quantidade de senhas externas, o órgão mandou suspender todos os acessos. O presidente do órgão reconheceu que nunca havia se perguntado antes sobre quem tinha acesso ao repositório de dados. “Até então eu não sabia. Isso aí deve estar num acervo construído ao longo de décadas”, diz.

Roubo de senhas

O roubo de senhas foi o artifício usado por fraudadores em outro episódio: a invasão do Siafi, sistema de pagamentos da União. Criminosos acessaram a plataforma com senhas de servidores no gov.br e desviaram pelo menos R$ 15 milhões. Até hoje, o caso segue sem solução. Segundo Stefanutto, o acesso ao Suibe já foi restabelecido sob novas regras, que exigem acesso com VPN e uso de certificado digital emitido pelo Serpro, empresa de tecnologia do governo federal.

Devido a isso, o número de senhas também está restrito: foram autorizados 11 acessos, requeridos por cinco órgãos: Polícia Federal, CGU (Controladoria-Geral da União), TCU (Tribunal de Contas da União) e os ministérios do Desenvolvimento Social e Agricultura.

Segundo o presidente do INSS, foi realizada a correção de outras vulnerabilidades, como a possibilidade de servidores do órgão acessarem o sistema de concessão de benefícios apenas com usuário e senha. A instituição também passou a cobrar o uso do certificado digital.